LAS VEGAS / LONDON (IT BOLTWISE) – Auf der DEF CON 33 Sicherheitskonferenz wurden neue Erkenntnisse zu einer kürzlich behobenen Sicherheitslücke im Windows Remote Procedure Call (RPC) Protokoll vorgestellt. Diese Schwachstelle könnte von Angreifern ausgenutzt werden, um Spoofing-Angriffe durchzuführen und sich als bekannter Server auszugeben.
Die jüngsten Entdeckungen von Cybersicherheitsforschern werfen ein neues Licht auf eine Sicherheitslücke im Windows Remote Procedure Call (RPC) Protokoll von Microsoft, die inzwischen behoben wurde. Diese Schwachstelle, die unter der Bezeichnung CVE-2025-49760 bekannt ist, wurde im Juli 2025 im Rahmen des monatlichen Patch Tuesday Updates von Microsoft geschlossen. Sie ermöglichte es Angreifern, Spoofing-Angriffe durchzuführen und sich als legitimer Server auszugeben.
Die Sicherheitslücke wurde von Ron Ben Yizhak, einem Forscher bei SafeBreach, auf der DEF CON 33 Sicherheitskonferenz vorgestellt. Laut einem im letzten Monat veröffentlichten Advisory von SafeBreach ermöglicht die externe Kontrolle von Dateinamen oder Pfaden in Windows Storage einem autorisierten Angreifer, Spoofing über ein Netzwerk durchzuführen. Das Windows RPC Protokoll nutzt universell eindeutige Bezeichner (UUIDs) und einen Endpoint Mapper (EPM), um die Verwendung dynamischer Endpunkte in Client-Server-Kommunikationen zu ermöglichen.
Die Schwachstelle erlaubt es, einen Kernbestandteil des RPC-Protokolls zu manipulieren und einen sogenannten EPM-Poisoning-Angriff zu inszenieren. Dadurch können unprivilegierte Benutzer als legitimer, integrierter Dienst auftreten, um einen geschützten Prozess dazu zu bringen, sich gegen einen beliebigen Server zu authentifizieren, den der Angreifer auswählt. Da die Funktionsweise von EPM der des Domain Name System (DNS) ähnelt, spielt sich der Angriff ähnlich wie DNS-Poisoning ab, bei dem ein Bedrohungsakteur DNS-Daten manipuliert, um Benutzer auf bösartige Websites umzuleiten.
Ben Yizhak war überrascht zu entdecken, dass nichts ihn daran hinderte, bekannte, integrierte Schnittstellen zu registrieren, die zu Kerndiensten gehören. Er stellte fest, dass es keine Sicherheitsüberprüfungen durch den EPM gab, die Clients daran hinderten, sich mit einem unbekannten Prozess zu verbinden, der nicht einmal mit Administratorrechten lief. Der Angriff basiert darauf, Schnittstellen zu finden, die nicht mit einem Endpunkt verknüpft sind, sowie solche, die direkt nach dem Systemstart registriert werden können, indem die Tatsache ausgenutzt wird, dass viele Dienste aus Leistungsgründen auf “verzögerten Start” gesetzt sind.
SafeBreach hat auch ein Tool namens RPC-Racer veröffentlicht, das verwendet werden kann, um unsichere RPC-Dienste zu identifizieren und einen geschützten Prozess Light (PPL) Prozess zu manipulieren, um das Maschinenkonto gegen einen vom Angreifer ausgewählten Server zu authentifizieren. Die PPL-Technologie stellt sicher, dass das Betriebssystem nur vertrauenswürdige Dienste und Prozesse lädt und laufende Prozesse vor Beendigung oder Infektion durch bösartigen Code schützt.
Der gesamte Angriffsablauf umfasst das Erstellen einer geplanten Aufgabe, die beim Anmelden des aktuellen Benutzers ausgeführt wird, das Registrieren der Schnittstelle des Storage Service und das Auslösen des Delivery Optimization Service, um eine RPC-Anfrage an den Storage Service zu senden. Dies führt dazu, dass sich der Dienst mit dem dynamischen Endpunkt des Angreifers verbindet. Anschließend wird die Methode GetStorageDeviceInfo() aufgerufen, wodurch der Delivery Optimization Service ein SMB-Share zu einem vom Angreifer eingerichteten bösartigen Server erhält.
SafeBreach erklärte, dass die EPM-Poisoning-Technik weiter ausgebaut werden könnte, um Angriffe wie Adversary-in-the-Middle (AitM) und Denial-of-Service (DoS) durchzuführen, indem die Anfragen an den ursprünglichen Dienst weitergeleitet oder viele Schnittstellen registriert und die Anfragen abgelehnt werden. Um diese Art von Angriffen besser zu erkennen, können Sicherheitsprodukte Anrufe an RpcEpRegister überwachen und Event Tracing for Windows (ETW) verwenden, eine Sicherheitsfunktion, die Ereignisse protokolliert, die von Benutzermodus-Anwendungen und Kernelmodus-Treibern ausgelöst werden.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Senior Consultant AI Governance, Compliance & Risk (m/w/d)
Senior IT-Sicherheitsmanager (m/w/d) – Schwerpunkt KI und Cloud Security
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
Praktikant*in Entwicklungsarbeit und AI-Unterstützung (Pflicht-Praktikum)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Neue Sicherheitslücke in Windows RPC ermöglicht Privilegieneskalation" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Neue Sicherheitslücke in Windows RPC ermöglicht Privilegieneskalation" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Neue Sicherheitslücke in Windows RPC ermöglicht Privilegieneskalation« bei Google Deutschland suchen, bei Bing oder Google News!