研究人员揭秘 Windows EPM 劫持攻击链：可实现域权限提升

图片

网络安全研究人员公布了一项与微软 Windows 远程过程调用（RPC）协议相关的最新研究成果，该协议中存在一个已修复的安全漏洞，攻击者可利用此漏洞实施欺骗攻击，伪装成可信服务器。

这一漏洞编号为 CVE-2025-49760（CVSS 评分：3.5），被微软描述为 Windows 存储欺骗漏洞。微软已于 2025 年 7 月的月度周二补丁更新中修复了该漏洞。本周，SafeBreach 公司的研究员罗恩・本・伊扎克在 DEFCON 33 安全大会上公开了这一安全缺陷的细节。

微软在上月发布的安全公告中指出：“Windows 存储中存在的文件名或路径外部控制问题，允许授权攻击者通过网络实施欺骗攻击。”

Windows RPC 协议借助通用唯一标识符（UUID）和端点映射器（EPM），实现在客户端 - 服务器通信中使用动态端点，并将 RPC 客户端连接到服务器注册的端点。

该漏洞本质上使得攻击者能够操纵 RPC 协议的核心组件，发起所谓的 EPM 劫持攻击。非特权用户可借此伪装成合法的内置服务，诱使受保护进程向攻击者指定的任意服务器进行身份验证。

由于 EPM 的功能类似于域名系统（DNS）— 它将接口 UUID 映射到端点，就像 DNS 将域名解析为 IP 地址一样，这种攻击的运作方式类似于 DNS 劫持。在 DNS 劫持中，攻击者篡改 DNS 数据，将用户重定向到恶意网站。EPM 劫持攻击的步骤如下：

• 劫持 EPM
• 伪装成合法 RPC 服务器
• 操纵 RPC 客户端
• 通过 ESC8 攻击实现本地 / 域权限提升

本・伊扎克表示：“当发现可以注册那些属于核心服务的已知内置接口时，我感到十分震惊。我原本以为，例如 Windows Defender 拥有唯一标识符后，其他进程应该无法注册该标识符，但事实并非如此。”

“当我尝试注册一个已关闭服务的接口时，该服务的客户端反而连接到了我这里。这一发现令人难以置信 — EPM 竟然没有执行任何安全检查，它会将客户端连接到一个未知进程，而该进程甚至没有管理员权限。”

攻击的关键在于找到未映射到端点的接口，以及那些可在系统启动后立即注册的接口。这是因为许多服务为了提升性能、加快启动速度，被设置为 “延迟启动”。

换句话说，任何手动启动的服务都存在安全风险，因为其 RPC 接口不会在系统启动时注册，这使得攻击者能够在原始服务注册之前抢先注册该接口，从而实施劫持。

图片

SafeBreach 公司还发布了一款名为 RPC-Racer 的工具，该工具可用于识别不安全的 RPC 服务（例如存储服务或 StorSvc.dll），并操纵受保护进程轻型（PPL）进程（例如传递优化服务或 DoSvc.dll），让计算机账户向攻击者选择的任意服务器进行身份验证。

PPL 技术确保操作系统仅加载可信服务和进程，并保护运行中的进程免受恶意代码的终止或感染。该技术由微软在 Windows 8.1 系统中引入。

从整体来看，完整的攻击流程如下：

• 创建一个在当前用户登录时执行的计划任务
• 注册存储服务的接口
• 触发传递优化服务向存储服务发送 RPC 请求，使其连接到攻击者的动态端点
• 调用 GetStorageDeviceInfo () 方法，导致传递优化服务接收到指向攻击者搭建的恶意服务器的 SMB 共享
• 传递优化服务使用计算机账户凭据向恶意 SMB 服务器进行身份验证，导致 NTLM 哈希泄露
• 实施 ESC8 攻击，将获取到的 NTLM 哈希中继到基于 Web 的证书注册服务（AD CS），从而实现权限提升

要实现这一点，可以使用 Certipy 等开源攻击工具。该工具利用将 NTLM 信息传递给 AD CS 服务器后生成的证书，请求 Kerberos 票证授予票证（TGT），然后利用该票证从域控制器中提取所有机密。

SafeBreach 指出，通过将请求转发到原始服务，EPM 劫持技术可进一步扩展为中间人（AitM）攻击；通过注册大量接口并拒绝请求，则可扩展为拒绝服务（DoS）攻击。该网络安全公司还指出，可能存在其他易受 EPM 劫持攻击的客户端和接口。

为了更好地检测这类攻击，安全产品可以监控对 RpcEpRegister 的调用，并使用 Windows 事件跟踪（ETW）—— 这是一项记录用户模式应用程序和内核模式驱动程序所引发事件的安全功能。

本・伊扎克表示：“就像 SSL 固定会验证证书不仅有效，还使用特定的公钥一样，RPC 服务器的身份也应该被检查。”

“当前端点映射器（EPM）的设计没有执行这种验证。如果没有这种验证，客户端将接受来自未知来源的数据。盲目信任这些数据会让攻击者能够控制客户端的操作，并按照攻击者的意愿对其进行操纵。”