PhantomRPC: Vulnerabilidade no RPC Permite Escalação de Privilégios em Todas as Versões do Windows

Security Team
há 2 dias
3 min de leitura

O CTI do ICS Labs identificou uma nova vulnerabilidade denominada PhantomRPC, divulgada durante a Black Hat Asia 2026, afetando potencialmente todas as versões do Windows. Trata-se de uma falha arquitetural no mecanismo de Windows RPC (Remote Procedure Call) que permite elevação de privilégio local até SYSTEM.

Diferente de vulnerabilidades tradicionais, essa falha não envolve corrupção de memória ou bug isolado, mas sim uma falha de design no tratamento de conexões RPC para serviços indisponíveis.

Atualmente, não há patch disponível, e a Microsoft classificou o risco como moderado, apesar do impacto potencial elevado.

Descrição Técnica

O problema ocorre quando um processo privilegiado tenta se conectar a um servidor RPC indisponível O runtime RPC (rpcrt4.dll) não valida a autenticidade do servidor que responde. A partir disso, um atacante pode:

Criar um servidor RPC falso
Interceptar chamadas legítimas
Utilizar a API RpcImpersonateClient
Assumir o contexto de segurança do cliente
Escalar privilégios para SYSTEM/Admin

Vetores de Exploração Identificados

gpupdate.exe coercion
Força chamada RPC via Group Policy
Requer TermService desativado
Escalada para SYSTEM
Inicialização do Microsoft Edge
Chamada automática RPC ao iniciar
Sem necessidade de interação do usuário
WDI (Diagnostic System Host)
Serviço roda como SYSTEM
Executa chamadas periódicas (5–15 min)
Vetor passivo
ipconfig.exe + DHCP Client
Requer DHCP desativado
Escalada via Local Service
w32tm.exe (Windows Time)
Uso de named pipe inexistente
Não requer desativar serviço legítimo
Pode capturar contexto de usuários privilegiados

Impacto

Escalada de privilégio local
Possível bypass de controles internos
Aumento de superfície de ataque
Exploração silenciosa

Recomendações para equipes de segurança

Diante da ausência de patch oficial, as equipes de segurança devem priorizar a redução da superfície de ataque e o fortalecimento da detecção. É fundamental revisar e restringir o uso do privilégio SeImpersonatePrivilege, garantindo que ele esteja disponível apenas para processos estritamente necessários, evitando sua concessão a aplicações customizadas ou de terceiros sem validação rigorosa. Paralelamente, deve-se evitar manter serviços críticos desativados, como o TermService e o cliente DHCP, já que a indisponibilidade desses serviços abre espaço para a interceptação maliciosa de chamadas RPC.

No campo de monitoramento, recomenda-se habilitar telemetria via ETW (Event Tracing for Windows) para rastrear falhas de RPC, especialmente eventos relacionados a RPC_S_SERVER_UNAVAILABLE, correlacionando-os com processos privilegiados e tentativas de impersonação em alto nível. A criação de alertas para comportamentos anômalos, como processos de baixo privilégio respondendo a requisições RPC de alto privilégio, é essencial para identificar possíveis explorações.

Além disso, atividades de threat hunting devem focar na identificação de servidores RPC não autorizados e no uso incomum da API RpcImpersonateClient, bem como em padrões suspeitos envolvendo executáveis como gpupdate.exe, ipconfig.exe e w32tm.exe. Em caso de detecção de comportamento anômalo, é importante isolar rapidamente os sistemas afetados, revisar configurações de serviços e conduzir auditorias nas permissões e contas envolvidas.

Por fim, recomenda-se que as organizações utilizem ferramentas disponibilizadas pelos pesquisadores para mapear possíveis caminhos exploráveis dentro do ambiente, permitindo uma avaliação proativa de exposição e a implementação de controles preventivos antes que a vulnerabilidade seja explorada em cenários reais.

Fontes: