Serviço:
Microsoft Remote Procedure Call (MSRPC)
Olhar “Portmapper”, outra implementação Remote Procedure Call (RPC).
Descrição do serviço:
Tecnologia de comunicação entre processos que permite a um programa de computador chamar um procedimento (sub-rotina) em outro espaço de endereçamento (geralmente em outro computador, conectado por uma rede). O programador não se preocupa com detalhes de implementação dessa interação remota: do ponto de vista do código, a chamada se assemelha a chamadas de procedimentos locais.
Vulnerabilidade:
Diversas vulnerabilidades na implementação da Microsoft (MSRCP), tais como buffer overflow, que permite execução de códigos arbitrários, e ataques DOS.
https://memoria.rnp.br/cais/alertas/2004/MS04-029.html
https://memoria.rnp.br/cais/alertas/2006/MS06-031.html
https://www.listas.unicamp.br/pipermail/security-l/2003-August/000760.html
https://www.kb.cert.org/vuls/id/326746
Descrição do ataque:
Vários exploits causam falhas que comprometem máquinas e podem causar ataques de negação de serviço.
https://www.nic.br/noticia/na-midia/especialistas-alertam-para-exploit-de-falha-no-rpc-do-windows
https://tribunapr.uol.com.br/arquivo/tecnologia/microsoft-alerta-para-novas-falhas-de-seguranca
https://www.exploit-db.com/exploits/76
Verificação:
No próprio equipamento:
- Windows
netstat -an | findstr 135
- Linux
netstat -an | grep 135
De fora da rede local
- nmap -p 135 [IP/rede]
*se necessário, substituir a porta 135 pela denunciada
Solução:
Filtrar as portas 135/TCP, 135/UDP, 139/TCP, 139/UDP, 445/TCP, 445/UDP no firewall.
Desativar o serviço se não for necessário.
Referências:
https://pt.wikipedia.org/wiki/Chamada_de_procedimento_remoto
https://en.wikipedia.org/wiki/Remote_procedure_call
https://en.wikipedia.org/wiki/Microsoft_RPC
https://www.geeksforgeeks.org/remote-procedure-call-rpc-in-operating-system
https://searchapparchitecture.techtarget.com/definition/Remote-Procedure-Call-RPC