Windows EPM中毒攻擊：遠端程序呼叫（RPC）的新威脅

在網路安全領域中，權限提升（Privilege Escalation）一直是攻擊者夢寐以求的目標，一旦成功，攻擊者便能取得對整個網路環境的完全控制。最近，一項由資安公司SafeBreach的研究人員Ron Ben Yizhak所揭露的重大發現，揭示了微軟Windows遠端程序呼叫（RPC）通訊協議中的一個新漏洞，這個漏洞可能被惡意利用，導致攻擊者能夠執行「EPM中毒」（EPM poisoning）攻擊，進而實現網域權限提升。

這個漏洞被追蹤為CVE-2025-49760，雖然其CVSS評分僅為3.5，在七月時已透過微軟的每個月例行性修補（Patch Tuesday）更新得到修復，但其背後的攻擊原理卻對企業的資安防護提出了新的挑戰。這個漏洞的核心問題在於RPC協議的端點映射器（Endpoint Mapper, EPM）元件缺乏適當的安全檢查。
 

攻擊原理與手法

RPC協議是Windows系統中一個重要的通訊機制，它允許客戶端（client）與伺服器（server）之間進行溝通。EPM的角色就像是一個目錄服務，它負責將RPC客戶端的請求，導向到伺服器所註冊的正確端點。然而，Ben Yizhak驚訝地發現，EPM並沒有對伺服器進行身分驗證，這意味著任何沒有權限的用戶都可以註冊屬於核心服務的已知介面。

這種情況為攻擊者提供了一個絕佳的機會。攻擊者可以利用這個漏洞，冒充一個合法的、內建的服務，並註冊該服務的RPC介面。當系統中的其他受保護程序（Protected Process）試圖與該合法服務進行通訊時，EPM會被「中毒」，將這些程序的請求導向到攻擊者所控制的惡意伺服器。
整個攻擊流程可以分為幾個步驟：

1. EPM中毒：攻擊者利用漏洞註冊一個合法服務的介面，欺騙EPM將流量導向自己的伺服器。
2. 冒充合法伺服器：攻擊者偽裝成該合法服務，等待其他合法程序發送通訊請求。
3. 操縱RPC客戶端：攻擊者可以利用一個名為「RPC-Racer」的工具，找到並操縱那些不安全的RPC服務。這個工具能夠利用系統為了效能而將許多服務設定為「延遲啟動」（delayed start）的特性，在合法服務啟動並註冊其介面之前，搶先註冊。
4. 竊取NTLM雜湊：攻擊者可以透過惡意伺服器，迫使受害者機器進行NTLM認證，並將其機器帳號的NTLM雜湊（hash）洩露給攻擊者。
5. 權限提升：攻擊者將竊取到的NTLM雜湊轉發（relay）到活動目錄憑證服務（AD CS）伺服器，利用一種稱為ESC8的攻擊手法，向AD CS申請一個 Kerberos 票證授予服務（TGT）憑證。一旦獲得這個憑證，攻擊者就能夠以網域管理員的身分，存取網域控制器的所有機密，最終實現網域權限提升。

潛在的危害與防範建議

這種EPM中毒攻擊的危害不僅限於權限提升。研究人員也指出，這項技術還可以被擴展用於執行中間人攻擊（Adversary-in-the-middle, AitM）和阻斷服務（Denial-of-Service, DoS）攻擊。

此事件為企業敲響了警鐘，並對既有的威脅模型提出了挑戰。傳統的安全模型通常假設內網環境是相對安全的，但這個漏洞證明，即使沒有任何程式碼執行或外部入侵，內網中的服務也可能被濫用。
為了有效防範此類攻擊，企業應採取以下措施：

• 立即修補：確保所有Windows系統，特別是伺服器和網域控制器，都已經安裝了七月份的最新修補程式。
• 監控RPC呼叫：資安產品可以監控對RpcEpRegister函式的呼叫，以偵測是否有未經授權的註冊行為。
• 利用ETW追蹤：使用Windows事件追蹤（Event Tracing for Windows, ETW）來監控RPC通訊，這有助於發現異常的連線行為。
• 驗證RPC伺服器身分：Ben Yizhak建議，未來的RPC設計應該在客戶端接受來自未知來源的資料之前，先驗證RPC伺服器的身分，以防止冒充攻擊。

總而言之，這個漏洞的發現再次證明了資安防護是一個動態的過程，攻擊者總是在尋找新的攻擊路徑。企業必須保持警惕，持續更新其防禦策略，才能有效保護其網路資產與資料安全。

資料來源：https://thehackernews.com/2025/08/researchers-detail-windows-epm.html