PhantomRPC: Vulnerabilidad en RPC Permite la Escalada de Privilegios en Todas las Versiones de Windows
- Security Team
- hace 2 días
- 3 Min. de lectura
El CTI de ICS Labs identificó una nueva vulnerabilidad denominada PhantomRPC, divulgada durante Black Hat Asia 2026, que afecta potencialmente a todas las versiones de Windows. Se trata de una falla arquitectónica en el mecanismo de Windows RPC (Remote Procedure Call) que permite la escalada de privilegios local hasta SYSTEM.
A diferencia de las vulnerabilidades tradicionales, esta falla no implica corrupción de memoria ni un bug aislado, sino un problema de diseño en el tratamiento de conexiones RPC hacia servicios indisponibles.
Actualmente, no existe un parche disponible, y Microsoft clasificó el riesgo como moderado, a pesar del elevado impacto potencial.
Descripción Técnica
El problema ocurre cuando un proceso privilegiado intenta conectarse a un servidor RPC indisponible. El runtime RPC (rpcrt4.dll) no valida la autenticidad del servidor que responde. A partir de esto, un atacante puede:
Crear un servidor RPC falso
Interceptar llamadas legítimas
Utilizar la API RpcImpersonateClient
Asumir el contexto de seguridad del cliente
Escalar privilegios a SYSTEM/Admin
Vectores de Explotación Identificados
gpupdate.exe (coerción)
Fuerza una llamada RPC vía Group Policy
Requiere TermService deshabilitado
Escalada a SYSTEM
Inicialización de Microsoft Edge
Llamada RPC automática al iniciarse
No requiere interacción del usuario
WDI (Diagnostic System Host)
El servicio se ejecuta como SYSTEM
Ejecuta llamadas periódicas (cada 5–15 minutos)
Vector pasivo
ipconfig.exe + DHCP Client
Requiere DHCP deshabilitado
Escalada a través de Local Service
w32tm.exe (Windows Time)
Uso de named pipe inexistente
No requiere deshabilitar el servicio legítimo
Puede capturar el contexto de usuarios privilegiados
Impacto
Escalada de privilegios local
Posible bypass de controles internos
Aumento de la superficie de ataque
Explotación silenciosa
Recomendaciones para Equipos de Seguridad
Ante la ausencia de un parche oficial, los equipos de seguridad deben priorizar la reducción de la superficie de ataque y el fortalecimiento de la detección. Es fundamental revisar y restringir el uso del privilegio SeImpersonatePrivilege, garantizando que esté disponible únicamente para procesos estrictamente necesarios, evitando su concesión a aplicaciones personalizadas o de terceros sin una validación rigurosa.
En paralelo, se debe evitar mantener servicios críticos deshabilitados, como TermService y el cliente DHCP, ya que la indisponibilidad de estos servicios facilita la interceptación maliciosa de llamadas RPC.
En el ámbito del monitoreo, se recomienda habilitar telemetría vía ETW (Event Tracing for Windows) para rastrear fallos de RPC, especialmente eventos relacionados con RPC_S_SERVER_UNAVAILABLE, correlacionándolos con procesos privilegiados e intentos de impersonación de alto nivel. La creación de alertas para comportamientos anómalos, como procesos de bajo privilegio respondiendo a solicitudes RPC de alto privilegio, es esencial para identificar posibles explotaciones.
Adicionalmente, las actividades de threat hunting deben enfocarse en la identificación de servidores RPC no autorizados y en el uso inusual de la API RpcImpersonateClient, así como en patrones sospechosos relacionados con ejecutables como gpupdate.exe, ipconfig.exe y w32tm.exe. Ante la detección de comportamientos anómalos, es importante aislar rápidamente los sistemas afectados, revisar la configuración de servicios y realizar auditorías sobre permisos y cuentas involucradas.
Finalmente, se recomienda que las organizaciones utilicen las herramientas proporcionadas por los investigadores para mapear posibles caminos explotables dentro del entorno, permitiendo una evaluación proactiva de la exposición y la implementación de controles preventivos antes de que la vulnerabilidad sea explotada en escenarios reales.
Fuentes:
Comentarios