Référence des ports
Port 135 (TCP) – Mappeur de points de terminaison MSRPC
Mappeur de points de terminaison RPC de Microsoft — oriente les clients vers les ports RPC dynamiques sous Windows.
État par défaut
Ouvert sur la quasi-totalité des hôtes Windows et des contrôleurs de domaine. Doit être filtré depuis les réseaux non fiables.
Attaques courantes
- Énumération des services RPC via le mappeur de points de terminaison
- PetitPotam / coercition d'authentification via MS-EFSRPC
- Vecteurs de relais NTLM basés sur DCOM
- Énumération distante de services et de tâches
Durcissement
- Bloquer le port 135 et la plage RPC dynamique depuis les réseaux non fiables
- Corriger les vulnérabilités de coercition (PetitPotam, PrinterBug)
- Imposer la signature SMB et le channel binding LDAP pour casser les relais
- Désactiver les services RPC inutiles (spouleur sur les DC)
- Restreindre et filtrer la plage de ports RPC dynamiques
Commande nmap
nmap -p135 --script msrpc-enum <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Ce qui tourne sur le port 135
Le port 135 héberge le mappeur de points de terminaison RPC de Microsoft (MSRPC), aussi appelé locateur DCE/RPC. Lorsqu'un client veut dialoguer avec un service RPC Windows — DCOM, WMI, le planificateur de tâches, le spouleur d'impression ou la réplication d'annuaire — il demande d'abord au mappeur sur le port 135 quel port dynamique élevé ce service utilise actuellement, puis s'y connecte. C'est une brique fondamentale du réseau Windows, présente sur quasiment tout hôte joint au domaine.
Pourquoi c'est important pour la sécurité
Comme le mappeur de points de terminaison annonce les services RPC exposés par un hôte, le port 135 est une riche cible d'énumération révélant la surface d'attaque. Plus important encore, plusieurs interfaces RPC peuvent être détournées pour coercer l'authentification : un attaquant pousse la victime à établir une connexion authentifiée vers un hôte attaquant, où les identifiants sont relayés vers LDAP ou AD CS pour élever les privilèges — la base des attaques de type PetitPotam.
Comment c'est attaqué
Les outils énumèrent le mappeur de points de terminaison pour cartographier les services RPC et localiser les interfaces vulnérables. PetitPotam détourne MS-EFSRPC et le PrinterBug détourne le spouleur d'impression pour forcer un contrôleur de domaine à s'authentifier auprès d'un attaquant, qui relaie cette authentification NTLM vers un service privilégié. Les interfaces DCOM fournissent des vecteurs supplémentaires de coercition et de mouvement latéral.
Liste de durcissement
Filtrez le port 135 et la plage RPC dynamique depuis les réseaux non fiables et clients. Corrigez les bugs de coercition (PetitPotam, PrinterBug) et désactivez le spouleur d'impression sur les contrôleurs de domaine. Cassez les chaînes de relais en imposant la signature SMB, le channel binding LDAP et l'Extended Protection for Authentication. Restreignez la plage de ports RPC dynamiques pour pouvoir la filtrer strictement. Utilisez le script nmap ci-dessus pour énumérer les services RPC sur les hôtes que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- À quoi sert le port 135 ?
- Le port 135 est le mappeur de points de terminaison RPC de Microsoft. Les clients l'interrogent pour découvrir sur quel port dynamique un service RPC donné (DCOM, WMI, tâches planifiées, etc.) écoute.
- Pourquoi le port 135 est-il un risque de sécurité ?
- Il expose le paysage des services RPC à l'énumération et constitue le point d'entrée des attaques de coercition d'authentification comme PetitPotam qui forcent un hôte à relayer ses identifiants.