Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Microsoft Defender ya monitoriza el abuso del protocolo RPC


Microsoft ha ampliado las capacidades de Microsoft Defender para monitorizar, detectar e interrumpir ataques que abusan del Remote Procedure Call (RPC). Este protocolo fundamental de Windows ha sido explotado durante mucho tiempo por ciberdelincuentes para lograr el movimiento lateral, el robo de credenciales y la escalada de privilegios.




Microsoft ha ampliado las capacidades de Microsoft Defender para monitorear, detectar e interrumpir ataques que abusan de la Llamada a Procedimiento Remoto (RPC), un protocolo fundamental de Windows explotado durante mucho tiempo por actores de amenazas para el movimiento lateral, el robo de credenciales y la escalada de privilegios.

La Llamada a Procedimiento Remoto (RPC) es un protocolo que permite que funciones que residen en un proceso separado —o incluso en una máquina remota— se invoquen como si fueran locales.

Dado que muchas funciones fundamentales de Windows y Active Directory se basan en RPC, se ha convertido en una de las superficies de ataque más atractivas en entornos empresariales. Las técnicas de ataque clave que abusan de RPC incluyen:

  • Movimiento Lateral – Creación remota de tareas, servicios o invocación de WMI a través de interfaces RPC
  • Robo de Credenciales – Los ataques DCsync explotan las llamadas RPC de replicación de Active Directory; SecretsDump y herramientas similares abusan de la interfaz del Registro Remoto de Windows (UUID: 338cd001-2244-31f1-aaaa-900038001003) para extraer secretos de SAM y LSA
  • Escalada de Privilegios – Los ataques de coerción de autenticación obligan a los servidores a autenticarse en sistemas controlados por el adversario a través de interfaces RPC benignas
  • Descubrimiento – Herramientas como SharpHound enumeran usuarios, sesiones y recursos compartidos utilizando llamadas RPC, mapeadas a las técnicas MITRE ATT&CK T1021, T1552.002, T1003.004 y T1003.

Cómo funciona la auditoría de RPC de Defender

El monitoreo tradicional de la capa de red del tráfico RPC es impracticable a gran escala y es totalmente ciego cuando el transporte subyacente (como SMB3) está cifrado.

Para cerrar esta brecha, los equipos de ingeniería e investigación de Defender de Microsoft ampliaron la integración de RPC existente con la Plataforma de Filtrado de Windows (WFP) para lograr una granularidad a nivel de OpNum.

Esto significa que ahora Defender puede identificar la función RPC exacta que se está llamando, no solo la interfaz, sin interceptar ni interrumpir el tráfico normal.

El monitoreo se centra en las llamadas RPC remotas entrantes observadas en el host del servidor, dirigiéndose específicamente a las interacciones iniciadas por el atacante con las interfaces RPC expuestas. Las llamadas RPC locales y salientes quedan fuera del alcance.

 

Defender monitorea dinámicamente operaciones remotas seleccionadas de interfaces críticas, incluyendo el Registro Remoto, el Administrador de Control de Servicios, el Programador de Tareas y la Instrumentación de Administración de Windows (WMI).





 

El monitoreo de RPC está disponible generalmente para estaciones de trabajo, con un despliegue gradual actualmente en curso para servidores. Las detecciones activas que ya se están implementando incluyen:

  • Ataque activo de "manos en el teclado" a través del kit de herramientas Impacket
  • Creación sospechosa de servicios remotos (mapeada al movimiento lateral)
  • Indicios de robo de secretos de la autoridad de seguridad local (LSA)
  • Descubrimiento de usuarios y sesiones inusual basado en RPC
  • Ataques de coerción de autenticación

Tú y tu equipo de seguridad pueden consultar la telemetría de RPC directamente en la pestaña de Búsqueda Avanzada utilizando el tipo de acción InboundRemoteRpcCall en DeviceEvents.

Las capturas de pantalla compartidas por Microsoft muestran cómo los analistas pueden buscar eventos de guardado de claves de registro remoto (OpNums 20/31 en la interfaz 338cd001) y eventos de creación de servicios remotos (OpNums 12, 24, 44, 45, 60 en la interfaz 367abb81), ambos comúnmente asociados con la extracción de credenciales y kits de herramientas de movimiento lateral como Impacket.

Esta mejora te otorga una visibilidad sin precedentes sobre uno de los vectores de ataque más abusados y, históricamente, más opacos en los entornos Windows, directamente dentro del portal de Microsoft Defender.



Fuentes:
https://cybersecuritynews.com/defender-rpc-protocol-abuse/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.