Oryginalny post znajduje się pod adresem https://itm4n.github.io/windows-registry-rpceptmapper-eop/

Podsumowanie

Znaleziono dwa klucze rejestru, które można zapisywać przez bieżącego użytkownika:

• HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

• HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper

Zasugerowano sprawdzenie uprawnień usługi RpcEptMapper za pomocą regedit GUI, a konkretnie zakładki Advanced Security Settings w oknie Effective Permissions. To podejście umożliwia ocenę przyznanych uprawnień dla określonych użytkowników lub grup bez konieczności badania każdego wpisu kontroli dostępu (ACE) osobno.

Na zrzucie ekranu pokazano uprawnienia przypisane do użytkownika o niskich uprawnieniach, wśród których wyróżnia się uprawnienie Create Subkey. To uprawnienie, zwane również AppendData/AddSubdirectory, odpowiada wynikom skryptu.

Zauważono, że nie można bezpośrednio modyfikować pewnych wartości, ale można tworzyć nowe podklucze. Przykładem było próba zmiany wartości ImagePath, która skończyła się komunikatem o odmowie dostępu.

Mimo tych ograniczeń zidentyfikowano potencjał eskalacji uprawnień poprzez możliwość wykorzystania podklucza Performance w strukturze rejestru usługi RpcEptMapper, który nie jest domyślnie obecny. Może to umożliwić rejestrację DLL i monitorowanie wydajności.

Skonsultowano dokumentację dotyczącą podklucza Performance i jego wykorzystania do monitorowania wydajności, co doprowadziło do opracowania DLL w celu potwierdzenia koncepcji. Ta DLL, demonstrująca implementację funkcji OpenPerfData, CollectPerfData i ClosePerfData, została przetestowana za pomocą rundll32, potwierdzając jej działanie.

Celem było zmuszenie usługi RPC Endpoint Mapper do załadowania stworzonej DLL wydajnościowej. Obserwacje wykazały, że wykonanie zapytań klasy WMI dotyczących danych wydajności za pomocą PowerShella skutkuje utworzeniem pliku dziennika, umożliwiając wykonanie dowolnego kodu w kontekście LOCAL SYSTEM i tym samym przyznanie podwyższonych uprawnień.

Podkreślono trwałość i potencjalne konsekwencje tej podatności, zwracając uwagę na jej znaczenie dla strategii poeksploatacyjnych, ruchu bocznego i unikania systemów antywirusowych/EDR.

Mimo że podatność początkowo została niezamierzenie ujawniona przez skrypt, podkreślono, że jej wykorzystanie jest ograniczone do przestarzałych wersji systemu Windows (np. Windows 7 / Server 2008 R2) i wymaga dostępu lokalnego.