Skip to content
PortsDB

Référence des ports

Port 593 (TCP) – RPC over HTTP (MSRPC/EPMAP)

Endpoint mapper RPC de Microsoft sur HTTP — tunnelise les appels DCE/RPC pour Exchange et les services AD.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert sur les hôtes Windows exécutant des services RPC-over-HTTP comme le RPC Proxy d'Exchange et certains rôles AD, parfois joignable depuis l'extérieur.

Attaques courantes

  • Relais NTLM contre une authentification RPC forcée
  • Coercition d'authentification de type PetitPotam (MS-EFSRPC)
  • Énumération via l'endpoint mapper des interfaces RPC exposées
  • Déplacement latéral via comptes machine relayés vers AD CS/LDAP

Durcissement

  • Bloquer le 593 depuis les réseaux non fiables ; garder RPC interne
  • Activer l'Extended Protection for Authentication (EPA) et la signature SMB/LDAP
  • Corriger les bugs de coercition de type PetitPotam et PrintNightmare
  • Désactiver NTLM si possible ; privilégier Kerberos
  • Segmenter AD CS et les services tier-0 hors de l'accès général

Commande nmap

nmap -p593 --script rpc-grind <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 593

Le port 593 est l'endpoint mapper RPC over HTTP (EPMAP), partie de la pile DCE/RPC de Microsoft. Il fait le même travail que le TCP 135 — indiquer aux clients sur quel port dynamique une interface RPC écoute — mais tunnelise l'échange sur HTTP pour que les appels RPC traversent proxies et pare-feu. Il est surtout associé au RPC Proxy d'Exchange et à divers services Active Directory.

Pourquoi c'est important pour la sécurité

RPC-over-HTTP expose un large ensemble d'interfaces RPC qui s'authentifient avec NTLM. Cela fait du 593 une cible de choix pour les attaques de coercition : un attaquant force un serveur ou un compte machine à s'authentifier vers un hôte qu'il contrôle, puis relaie cette authentification vers un autre service — LDAP, AD CS ou SMB sur le 445 — pour élever ses privilèges. Comme le canal passe par HTTP, il peut franchir des contrôles périmétriques qui bloqueraient le 135 brut.

Comment il est attaqué

Les attaquants énumèrent les interfaces exposées via l'endpoint mapper, puis déclenchent une coercition de type PetitPotam via MS-EFSRPC ou similaire pour forcer une cible à s'authentifier vers l'extérieur. Le NTLM capturé est relayé vers AD CS ou LDAP pour une prise de contrôle de certificat ou de compte, permettant déplacement latéral et compromission du domaine.

Liste de durcissement

Gardez le 593 hors des réseaux non fiables et traitez RPC comme strictement interne. Activez l'Extended Protection for Authentication et imposez la signature SMB et LDAP pour briser les chaînes de relais. Corrigez PetitPotam, PrintNightmare et les bugs de coercition apparentés, privilégiez Kerberos sur NTLM, et segmentez AD CS et les rôles tier-0. Utilisez la commande nmap ci-dessus pour identifier les services RPC sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 135Port 445Port 88Port 636

Questions fréquentes

En quoi le port 593 diffère-t-il du port 135 ?
Le port 135 est l'endpoint mapper DCE/RPC classique sur TCP ; le port 593 assure la même fonction d'endpoint mapper tunnelisée sur HTTP, permettant à RPC de traverser proxies et pare-feu.
Le port 593 doit-il être exposé sur Internet ?
Non. RPC-over-HTTP exposé est une surface de coercition et de relais NTLM. Gardez-le interne et placez tout accès distant derrière un VPN ou une passerelle moderne.