Fuzzing recursivo de estruturas MS-RPC e monitoramento com ETW

07 de maio de 2026

Resumo

Remco van der Meer aprimorou seu fuzzer de MS-RPC com manipulação recursiva de estruturas via New-FuzzedInstance, limitado a 8 níveis de profundidade com rastreamento de tipos visitados, e suporte a tipos union através de seleção aleatória de campos Arm_N com configuração discriminante apropriada. Ele substituiu o Process Monitor pelo monitoramento ETW nativo dos provedores Microsoft-Windows-Kernel-File e Microsoft-Windows-Kernel-Registry para detectar canary strings ("incendiumrocks_") em syscalls em tempo real.

O fuzzer descobriu a função RpcAddPrintProvidor em spoolsv.exe, que carrega DLLs arbitrárias como NT AUTHORITY\SYSTEM ao receber um caminho de arquivo (anexando .DLL à entrada). Embora o procedimento exija privilégios de administrador e suporte ncacn_ip_tcp para potencial exploração remota, defensores devem monitorar cargas suspeitas de DLLs pelo serviço Print Spooler e considerar restringir o acesso RPC a funções de gerenciamento de impressora. Isso representa um caminho de escalada de admin para SYSTEM que pode permitir movimento lateral em ambientes onde atacantes já possuem credenciais administrativas.

Fontes

incendium.rocksfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 07 de maio de 2026
Editoria: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?