Většina síťových útoků na OS Windows ve firemním prostředí využívá protokol Microsoft Remote Procedure Call (RPC).
Mezi nejznámější techniky patří vzdálené spouštění příkazů přes služby a plánované úlohy, NTLM Relay nebo DCSync. Ty pak lze zneužít k elevaci oprávnění, laterálnímu pohybu po síti a získání perzistence.

Většina firem protokol RPC ve vnitřních sítích nijak neomezuje, jelikož ani po téměř čtyřicetileté existenci tomuto protokolu mnoho síťařů nerozumí. A kdo se přelouská dokumentací, tak zjistí, že RPC využívá náhodná čísla portů a umí se také tunelovat přes šifrované SMB, což konfiguraci firewallu poněkud znesnadňuje.

Na přednášce se podíváme na síťovou a aplikační vrstvu protokolu RPC a ukážeme si možnosti jeho monitorování a filtrování. Prozkoumáme také horké novinky v této oblasti ve Windows Server 2025 a Windows 11 25H2.