원본 게시물은 https://itm4n.github.io/windows-registry-rpceptmapper-eop/입니다.

요약

현재 사용자가 쓰기 가능한 두 개의 레지스트리 키를 찾았습니다:

• HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

• HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper

regedit GUI를 사용하여 RpcEptMapper 서비스의 권한을 확인하는 것이 제안되었습니다. 특히 고급 보안 설정 창의 유효한 권한 탭을 사용하여 특정 사용자 또는 그룹에게 부여된 권한을 개별적으로 검사하지 않고도 평가할 수 있습니다.

스크립트의 결과와 일치하는 권한이 부여된 낮은 권한의 사용자에 대한 스크린샷이 제시되었습니다. 이 중 Create Subkey 권한이 주목받았습니다. 이 권한은 AppendData/AddSubdirectory로도 알려져 있으며, 스크립트의 결과와 일치합니다.

일부 값을 직접 수정할 수 없지만 새로운 하위 키를 생성할 수 있는 능력에 대해 언급되었습니다. 예를 들어 ImagePath 값을 변경하려는 시도는 액세스 거부 메시지가 나타났습니다.

그러나 이러한 제한 사항에도 불구하고, RpcEptMapper 서비스의 레지스트리 구조 내에 기본적으로 존재하지 않는 Performance 하위 키를 활용하여 권한 상승의 가능성이 확인되었습니다. 이를 통해 DLL 등록 및 성능 모니터링이 가능합니다.

Performance 하위 키와 성능 모니터링에 대한 문서를 참고하여 개념 증명 DLL을 개발했습니다. OpenPerfData, CollectPerfData, ClosePerfData 함수의 구현을 보여주는 이 DLL은 rundll32를 통해 테스트되었으며, 작동이 성공적으로 확인되었습니다.

목표는 RPC Endpoint Mapper 서비스가 제작된 Performance DLL을 로드하도록 강제하는 것이었습니다. PowerShell을 통해 성능 데이터와 관련된 WMI 클래스 쿼리를 실행하면 로그 파일이 생성되어 LOCAL SYSTEM 컨텍스트에서 임의의 코드를 실행할 수 있으며, 이로써 권한이 상승됩니다.

이 취약점의 지속성과 잠재적인 영향을 강조하며, 이는 사후 공격 전략, 측면 이동 및 백신/EDR 시스템 회피에 중요합니다.

이 취약점은 스크립트를 통해 의도치 않게 공개되었지만, 이를 악용하기 위해서는 오래된 Windows 버전 (예: Windows 7 / Server 2008 R2)이어야 하며, 로컬 액세스가 필요합니다.