Fuzzing recursivo de estruturas MS-RPC e monitoramento com ETW

Remco van der Meer aprimorou seu fuzzer de MS-RPC com manipulação recursiva de estruturas via New-FuzzedInstance, limitado a 8 níveis de profundidade com rastreamento de tipos visitados, e suporte a tipos union através de seleção aleatória de campos Arm_N com configuração discriminante apropriada. Ele substituiu o Process Monitor pelo monitoramento ETW nativo dos provedores Microsoft-Windows-Kernel-File e Microsoft-Windows-Kernel-Registry para detectar canary strings ("incendiumrocks_") em syscalls em tempo real.

O fuzzer descobriu a função RpcAddPrintProvidor em spoolsv.exe, que carrega DLLs arbitrárias como NT AUTHORITY\SYSTEM ao receber um caminho de arquivo (anexando .DLL à entrada). Embora o procedimento exija privilégios de administrador e suporte ncacn_ip_tcp para potencial exploração remota, defensores devem monitorar cargas suspeitas de DLLs pelo serviço Print Spooler e considerar restringir o acesso RPC a funções de gerenciamento de impressora. Isso representa um caminho de escalada de admin para SYSTEM que pode permitir movimento lateral em ambientes onde atacantes já possuem credenciais administrativas.