Domenica 05 Luglio 2026 17:37:25 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Tecnologia, Innovazione e Infrastruttura Digitale

Microsoft mette sotto i riflettori RPC, un percorso silenzioso di Windows che gli attaccanti continuano a usare

Pubblicato: 09 Giugno 2026 17:00Categoria: Tecnologia, Innovazione e Infrastruttura DigitaleArea: America del Nord / USAAutore: SECPULSE

Defender for Endpoint sta ottenendo un monitoraggio più approfondito per l'attività RPC remota in ingresso, una mossa che potrebbe aiutare i team di sicurezza a distinguere l'amministrazione di routine dal rumore del movimento laterale di Windows.

Le reti Windows funzionano grazie a molta fiducia invisibile. Remote Procedure Call, o RPC, è uno dei meccanismi che rende possibile questa fiducia, trasportando richieste remote tra sistemi che spesso sembrano ordinari finché non vengono abusati. L'ultimo aggiornamento di Defender for Endpoint di Microsoft è mirato a questo punto cieco, aggiungendo maggiore visibilità sull'attività RPC remota in ingresso così che i difensori possano individuare prima gli utilizzi sospetti.

Il tempismo è importante perché RPC non è un protocollo di nicchia. È integrato nei flussi di comunicazione e di gestione remota di Windows, il che significa che gli attaccanti in grado di mimetizzarsi in quel traffico possono evitare allarmi evidenti. Il problema di sicurezza non è RPC in sé, ma il divario tra l'uso amministrativo normale e l'abuso malevolo dei servizi remoti.

Fatti rapidi

  • Microsoft ha aggiunto in Defender for Endpoint un monitoraggio avanzato per l'attività RPC remota in ingresso.
  • L'obiettivo è rilevare e interrompere i cyberattacchi che abusano di RPC per il movimento e l'accesso su Windows.
  • RPC è un meccanismo di comunicazione centrale di Windows usato in operazioni remote legittime.
  • L'abuso di RPC viene spesso discusso insieme al movimento laterale e all'accesso alle credenziali nelle reti Windows.
  • Lo stato esatto del rilascio e l'implementazione tecnica della funzione non sono stati dettagliati nel materiale disponibile.

Perché RPC è importante per i difensori

Da un punto di vista tecnico, RPC è un meccanismo di comunicazione interprocesso che consente al software di richiedere azioni da un altro sistema o servizio. Su Windows, è anche alla base di tecnologie come DCOM, che possono far parte della legittima amministrazione aziendale. La stessa ampiezza lo rende utile agli intrusi che vogliono spostarsi tra host senza affidarsi a drop di malware evidenti o a nuovi strumenti rumorosi.

MITRE ATT&CK considera l'abuso dei servizi remoti un vero schema enterprise, e l'attività basata su DCOM è una delle aree che i difensori osservano quando tracciano il movimento laterale su Windows. La lezione pratica è semplice: il solo traffico RPC non è una sentenza. Diventa significativo quando viene affiancato dal contesto di processi, account, servizi e host.

È qui che entra in gioco Defender for Endpoint. La piattaforma endpoint di Microsoft già raccoglie telemetria utilizzata per hunting e risposta agli incidenti, quindi la maggiore visibilità su RPC dovrebbe essere vista come una lente più nitida su uno stack di telemetria esistente, non come una nuova soluzione miracolosa. Se ben calibrata, potrebbe aiutare i team di sicurezza a notare le chiamate remote in ingresso che meritano un esame più attento prima di trasformarsi in una compromissione più ampia.

Allo stesso tempo, maggiore visibilità può anche significare più rumore. I grandi ambienti spesso si affidano a strumenti di gestione remota, sistemi di distribuzione software e automazione amministrativa che generano attività RPC legittima. Senza baseline, anche un rilevamento utile può trasformarsi in un diluvio di alert.

Al momento della stesura, le informazioni pubbliche non hanno ancora chiarito completamente la causa tecnica principale, l'intero perimetro degli utenti interessati o se la funzione sia già ampiamente disponibile. Le informazioni disponibili supportano un'analisi del rischio, non un verdetto sulla copertura o sull'efficacia.

Conclusione

La lezione più profonda è che le superfici di attacco di Windows sono spesso nascoste all'interno dell'amministrazione ordinaria. Un protocollo può essere allo stesso tempo fondamentale per il business e favorevole agli attacchi, ed è per questo che i difensori hanno bisogno di una visibilità abbastanza specifica da distinguere il lavoro remoto di routine dal controllo remoto sospetto. In questo senso, il monitoraggio di RPC riguarda meno un singolo protocollo e più la riduzione dello spazio in cui gli attaccanti possono sembrare operatori legittimi.

TECHCROOK

Hardware firewall: Utile per segmentare le reti Windows e limitare i percorsi di accesso remoto non necessari. Cercate modelli con supporto VLAN, logging e gestione semplice delle regole, così l'amministrazione di routine resta separata dal traffico utente generale.

Scheda Techcrook: Hardware firewall

WIKICROOK

  • RPC: Remote Procedure Call, un meccanismo di Windows per effettuare richieste remote a servizi e processi.
  • Defender for Endpoint: la piattaforma di sicurezza endpoint enterprise di Microsoft per rilevamento, hunting e risposta.
  • Movimento laterale: l'atto di spostarsi da una macchina a un'altra all'interno di una rete dopo l'accesso iniziale.
  • Accesso alle credenziali: tecniche usate per ottenere segreti di account, token o materiale di autenticazione.
  • DCOM: Distributed Component Object Model, una tecnologia di Windows che può usare RPC per la comunicazione remota tra componenti.