Researchers Detail Windows EPM Poisoning Exploit Chain Leading to Domain Privilege Escalation

1 minute de lecture

Mis à jour : August 10, 2025

Escapade dans Windows par Empoisonnement d’EPM

Une faille dans le protocole de communication RPC (Remote Procedure Call) de Windows permettait à des attaquants de se faire passer pour des serveurs légitimes, menant à une escalade de privilèges sur le domaine. Cette vulnérabilité, identifiée comme CVE-2025-49760, a été corrigée par Microsoft en juillet 2025.

Les chercheurs ont démontré qu’il était possible d’empoisonner le “Endpoint Mapper” (EPM) du RPC, un composant qui associe des identifiants d’interface à des points de terminaison. Tel un empoisonnement DNS, cette manipulation permettait à des utilisateurs non privilégiés de tromper des processus protégés pour qu’ils s’authentifient auprès d’un serveur contrôlé par l’attaquant.

La faille exploitait l’absence de vérification d’identité par l’EPM, permettant à des interfaces RPC non attribuées ou dont le service associé avait un démarrage différé d’être enregistrées par un attaquant avant le service légitime.

Points Clés :

Mécanisme : Empoisonnement de l’EPM (Endpoint Mapper) du protocole RPC.
Cible : Imiter un serveur RPC légitime.
Objectif : Escalade de privilèges locale ou de domaine.
Exploitation : Utilisation de services à démarrage manuel ou d’interfaces non mappées.

Vulnérabilités :

CVE-2025-49760 : Vulnérabilité de spoofing dans le composant de stockage Windows, impactant le protocole RPC. (CVSS 3.5)

Méthodologie d’Attaque Générale :

Empoisonnement de l’EPM : Enregistrement d’une interface RPC légitime avant le service associé.
Usurpation d’identité : Se faire passer pour un serveur RPC légitime.
Manipulation de clients RPC : Forcer des clients RPC à se connecter au serveur malveillant.
Fuite d’informations d’identification : Obtenir les hashes NTLM via une connexion SMB forcée avec le compte machine.
Escalade de privilèges : Utiliser les hashes NTLM pour une attaque de type ESC8 via des services d’inscription de certificats (AD CS).

Recommandations :

Vérification d’identité : L’EPM devrait vérifier l’identité des serveurs RPC, similaire à la validation SSL.
Surveillance : Surveiller les appels à RpcEpRegister et utiliser Event Tracing for Windows (ETW) pour détecter les activités suspectes.
Mises à jour : Maintenir les systèmes à jour avec les derniers correctifs de sécurité de Microsoft.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Researchers Detail Windows EPM Poisoning Exploit Chain Leading to Domain Privilege Escalation

Escapade dans Windows par Empoisonnement d’EPM

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast