Hack Alerta

Ataques de authentication coercion exploram RPC do Windows

Por Redação Hack Alerta Publicado em 12/11/2025 08:02 Riscos e Ameaças Tempo de leitura: 3 min

Pesquisas da Unit42 detalham authentication coercion: técnicas que exploram funções RPC pouco usadas no Windows para forçar envio de hashes de autenticação a infraestrutura controlada por atacantes. Mitigações incluem SMB signing, bloqueio de RPC não utilizados e EDR comportamental.

Pesquisas recentes destacam uma técnica chamada authentication coercion que obriga máquinas Windows a enviar credenciais (hashes) para servidores controlados por atacantes, explorando funções RPC pouco usadas.

Panorama e descoberta

Analistas da Palo Alto Networks (Unit42) documentaram o uso da técnica de authentication coercion, na qual invasores abusam de protocolos RPC para forçar clientes Windows a autenticar contra infraestrutura maliciosa. A tática pode ser realizada sem privilégios elevados e recorre a funções e opnums de interfaces RPC raramente observadas em tráfego normal.

Mecanismo técnico

A exploração normalmente consiste em: (1) o atacante cria um listener que parece um recurso de rede válido; (2) um cliente Windows é induzido a invocar uma função RPC que aceita caminhos UNC ou parâmetros que façam o sistema iniciar uma ligação de autenticação; (3) a máquina alvo automaticamente envia hashes de autenticação (NTLM/credenciais) que o adversário captura.

Protocolos e interfaces mencionados nas análises incluem MS-RPRN (Print System Remote Protocol), MS-EFSR (Encrypting File System Remote Protocol), MS-DFSNM (Distributed File System Namespace Management Protocol), MS-FSRVP (File Server Remote VSS Protocol) e funções como ElfrOpenBELW do MS-EVEN EventLog Remoting Protocol. Ferramentas e explorações conhecidas que demonstram vetores similares são PrinterBug, PrintNightmare, PetitPotam, DFSCoerce e ShadowCoerce.

Impacto e cenários de risco

Se bem-sucedida, a coerção de autenticação pode resultar em roubo de hashes de contas de máquina, incluindo contas de Domain Controllers ou servidores de autoridade de certificação, abrindo caminho para NTLM relay, DCSync e comprometimento total de domínio. Relatos indicam que atores maliciosos já têm aproveitado essas técnicas para executar movimentos laterais e persistência com consequências severas.

Detecção e mitigação

A publicação técnica recomenda medidas concretas:

  • Impor SMB signing em domínios e servidores críticos para reduzir a eficácia de ataques de relay;
  • Desabilitar serviços RPC e interfaces raramente usadas em ativos críticos;
  • Habilitar Extended Protection for Authentication onde aplicável;
  • Utilizar filtros RPC via netsh para bloquear chamadas a interfaces suspeitas;
  • Empregar EDR/endpoint detection com análise comportamental para identificar padrões anômalos de RPC, UNC paths incomuns e conexões a destinos fora do padrão operacional.

Limites das informações

O material de referência descreve vetores, protocolos e exemplos de ferramentas, mas a amplitude exata de exploração em campo e contagens de incidentes não são detalhadas no resumo jornalístico. Organizações devem consultar o relatório técnico completo da Unit42 para indicadores de comprometimento e regras de detecção específicas.

Recomendações operacionais

Times de segurança devem priorizar revisão de políticas de SMB/RPC, implementar controles de autenticação reforçada e ajustar monitoramento para chamadas RPC incomuns. Em ambientes AD críticos, considere auditoria de contas de máquina e testes de penetração direcionados para validar mitigations.

Baseado em publicação original de Cyber Security News
Tags: #authentication-coercion #windows #rpc #ntlm #ad #unit42 #petitpotam #security #edr
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar