Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
PhantomRPC è un bug di sicurezza che consente l’escalation dei privilegi fino a SYSTEM sfruttando un bug nell’architettura RPC di Windows. Il problema consente ad un attaccante di impersonare servizi legittimi tramite server RPC falsi. Nonostante la segnalazione, Microsoft ha classificato il rischio come moderato e non ha rilasciato patch, ma la disponibilità di exploit pubblici rende la falla particolarmente insidiosa per ambienti enterprise.
Haydar Kabibo, esperto del Cybersecurity Services Center di Kaspersky Lab, ha scoperto una vulnerabilità nell’architettura RPC (Remote Procedure Call) di Windows che consente l’escalation dei privilegi locali fino al livello SYSTEM. La tecnica, denominata PhantomRPC, è stata presentata alla conferenza Black Hat Asia 2026.
Come spiega lo specialista, il problema risiede nel modo in cui il runtime RPC (rpcrt4.dll) gestisce le connessioni client-server. A quanto pare, Windows non verifica la legittimità dei server RPC e consente a un processo di terze parti di distribuire un server con lo stesso endpoint di un servizio legittimo.
In sostanza, se un utente malintenzionato ha compromesso un processo con il privilegio SeImpersonatePrivilege (che gli account Local Service e Network Service possiedono per impostazione predefinita), può configurare un server RPC fasullo, intercettare le richieste provenienti da un processo privilegiato e impersonarlo.
Kabibo ha dimostrato cinque vettori di sfruttamento. Ad esempio, quando si esegue il comando gpupdate /force, il servizio Criteri di gruppo (in esecuzione come SYSTEM) tenta di connettersi all’interfaccia RPC del Servizio Desktop remoto, che è disabilitata per impostazione predefinita. Un utente malintenzionato può falsificare TermService con un server RPC fasullo e ottenere i privilegi di SYSTEM.
Un altro vettore di attacco non richiede alcuna azione da parte dell’utente: il servizio di diagnostica in background WDI effettua chiamate RPC di impersonificazione di alto livello a TermService ogni 5-15 minuti. Un utente malintenzionato deve solo attendere la successiva chiamata di questo tipo.
Inoltre, attacchi simili sono possibili tramite Microsoft Edge (il browser accede a TermService anche all’avvio), tramite il client DHCP (utilizzando il comando ipconfig) e tramite il servizio Ora di Windows (utilizzando l’utilità w32tm.exe). Quest’ultimo vettore si distingue per la sua capacità di funzionare anche se il servizio Ora legittimo è in esecuzione (l’utilità tenta di accedere a un endpoint inesistente).
Il problema è di natura architetturale e il numero di potenziali vettori di attacco è praticamente illimitato, poiché qualsiasi nuovo servizio che dipenda da RPC potrebbe diventare un’ulteriore via per l’escalation dei privilegi.
Kaspersky Lab ha segnalato la vulnerabilità a Microsoft nel settembre 2025. Tuttavia, i rappresentanti di Microsoft hanno assegnato al problema solo un livello di gravità moderato e si sono rifiutati di rilasciare una patch, affermando che un utente malintenzionato avrebbe avuto bisogno del privilegio SeImpersonatePrivilege per sfruttarla. Alla vulnerabilità non è stato assegnato un identificativo CVE e il caso è stato chiuso senza ulteriori sviluppi.
Di conseguenza, la ricerca è stata pubblicata dopo la scadenza del periodo di embargo e alcuni esempi di exploit sono già disponibili nel repository GitHub. Per mitigare i rischi, si consiglia alle organizzazioni di implementare un monitoraggio basato su ETW per tracciare le eccezioni RPC e limitare l’uso di SeImpersonatePrivilege nei processi in cui tale privilegio non è richiesto.
“A causa della sua complessità e del suo ampio utilizzo, il meccanismo RPC è sempre stato fonte di numerosi problemi di sicurezza. Nel corso degli anni, i ricercatori hanno scoperto numerose vulnerabilità nei servizi che utilizzano RPC, che vanno dall’escalation dei privilegi locali all’esecuzione di codice remoto a tutti gli effetti”, commenta Haidar Cabibo. “Poiché il problema è radicato in un difetto dell’architettura stessa, il numero di potenziali vettori di attacco è praticamente illimitato“.
