新型Windows RPC攻击可劫持服务并完全攻陷Active Directory,PoC已公开
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
安全研究员发现Windows RPC协议存在CVE-2025-49760漏洞,攻击者可劫持服务并窃取机器账户凭据,导致Active Directory完全沦陷。微软已发布补丁,建议监控可疑接口注册。
🎯
关键要点
- 安全研究员发现Windows RPC协议存在CVE-2025-49760漏洞,攻击者可劫持服务并窃取机器账户凭据。
- 该漏洞允许低权限用户伪装成知名RPC服务器,攻击者可在合法服务之前注册恶意接口。
- 攻击工具RPC-Racer能够检测不安全的RPC服务并拦截高权限进程的连接。
- 攻击链通过诱骗高权限服务连接到攻击者端点,获取机器账户凭据,实现Active Directory完全沦陷。
- 微软已发布补丁,修复存储服务RPC客户端以确保安全连接。
- 建议监控RpcEpRegister调用,检测可疑接口注册,并应用微软补丁。
❓
延伸问答
CVE-2025-49760漏洞的主要风险是什么?
该漏洞允许攻击者劫持RPC服务并窃取机器账户凭据,导致Active Directory完全沦陷。
攻击者如何利用CVE-2025-49760漏洞进行攻击?
攻击者可以伪装成知名RPC服务器,注册恶意接口,从而劫持合法服务的连接。
微软针对CVE-2025-49760漏洞发布了什么修复措施?
微软发布了补丁,修改了存储服务RPC客户端以确保安全连接。
RPC-Racer工具的功能是什么?
RPC-Racer能够检测不安全的RPC服务,注册恶意接口并拦截高权限进程的连接。
如何监控CVE-2025-49760漏洞的可疑活动?
建议监控RpcEpRegister调用,检测可疑接口注册,并利用Windows事件追踪识别未知进程。
该漏洞的攻击链是如何实现的?
攻击链通过诱骗高权限服务连接到攻击者端点,获取机器账户凭据,最终实现Active Directory的完全控制。
➡️
