Technique d'attaque
Attaques RPC
RPC est un protocole largement utilisé pour la communication entre les systèmes dans les réseaux d'entreprise. C'est également une cible de choix pour les attaquants.
Définition
Qu'est-ce qu'une attaque RPC ?
Ce type d'attaque exploite l'appel de procédure à distance (RPC), un protocole qui permet à un programme informatique de demander un service ou d'exécuter une procédure sur un autre programme situé sur un ordinateur distant. Les entreprises l'utilisent pour que les systèmes en réseau puissent communiquer et effectuer des opérations sans avoir besoin d'une connaissance détaillée de la structure de l'autre programme ou des spécificités du réseau.
Si le protocole RPC est largement utilisé pour simplifier la communication entre les systèmes d'exploitation, il présente également une vulnérabilité importante que les attaquants peuvent exploiter. Dans les attaques RPC, les attaquants exploitent le protocole pour obtenir un accès non autorisé, élever les privilèges ou exécuter un code malveillant sur un système distant.
Comment cela fonctionne-t-il ?
Comment fonctionnent les attaques RPC
Les attaquants abusent des RPC pour mener diverses activités malveillantes telles que :
- Élévation des privilèges : Les attaquants abusent souvent des vulnérabilités RPC pour élever les privilèges et exécuter des commandes une fois qu'ils ont obtenu des autorisations de niveau supérieur. Ce type d'attaque peut résulter de contrôles d'accès mal configurés ou de vulnérabilités spécifiques dans les services RPC.
- Exécution de code à distance : Cela se produit lorsque des attaquants exploitent des vulnérabilités dans RPC pour exécuter un code arbitraire sur le système cible. En envoyant une requête RPC malveillante, l'attaquant peut exécuter des commandes ou des scripts sur la machine de la victime sans autorisation.
- Déplacement latéral : Comme RPC facilite la communication entre les systèmes, les attaquants l'exploitent souvent pour se déplacer latéralement sur un réseau. En compromettant un premier site endpoint et en utilisant RPC pour la communication, l'attaquant peut accéder à d'autres systèmes du réseau et maintenir la persistance.
Pourquoi les attaquants l'utilisent-ils ?
Pourquoi les attaquants utilisent-ils l'appel de procédure à distance ?
Les attaquants utilisent le RPC parce qu'il est souvent plus difficile à détecter qu'un balayage ou une analyse des ports. Ils peuvent l'utiliser pour passer inaperçus lors de leurs opérations de reconnaissance. C'est pourquoi les vulnérabilités des serveurs RPC sont fréquemment exploitées pour obtenir des informations sur les partages de réseau, les services, les utilisateurs et d'autres ressources.
Détections de plates-formes
Comment détecter et prévenir les attaques RPC
Les attaques RPC constituent un grave problème de sécurité en raison de la large fonctionnalité de RPC et de son accessibilité au réseau. En surveillant l'activité du réseau, en appliquant rapidement les correctifs et en utilisant des outils tels que la plateforme Vectra AI pour détecter les signes d'abus RPC, les professionnels de la cybersécurité peuvent réduire le risque de ces menaces. C'est pourquoi Vectra AI propose des détections pilotées par l'IA, telles que la reconnaissance RPC et la reconnaissance ciblée RPC, afin d'identifier lorsque les attaquants semblent utiliser le protocole RPC pour collecter des informations sur les ressources du réseau, de sorte que les équipes SOC puissent les arrêter rapidement.
