«Лаборатория Касперского» раскрыла уязвимость в архитектуре Windows RPC, позволяющую повышать привилегии
Эксперт центра сервисов по кибербезопасности «Лаборатории Касперского» обнаружил уязвимость в архитектуре удалённого вызова процедур Windows, которая дает возможность реализовать ранее неизвестную технику локального повышения привилегий, получившую название PhantomRPC. Как указывается в сообщении компании, результаты исследования были представлены на конференции Black Hat Asia 2026.
В компании описали пять векторов эксплуатации обнаруженной уязвимости, позволяющих повышать привилегии из контекста различных локальных или сетевых служб до уровня SYSTEM или высокопривилегированных пользователей. Отмечается, что некоторые техники основаны на принуждении, другие требуют пользовательских действий или задействуют фоновые службы.
Как пояснили в «Лаборатории Касперского», в основе проблемы лежит просчёт в самой архитектуре, поэтому количество потенциальных векторов атак практически не ограничено. Любой новый процесс или служба, зависящие от RPC, могут стать дополнительным путём повышения привилегий. Способы эксплуатации могут различаться от системы к системе в зависимости от установленных компонентов, библиотек DLL, используемых в RPC-взаимодействиях, и доступности соответствующих RPC-серверов.
«Лаборатория Касперского» уведомила Microsoft об уязвимости, однако вендор на данный момент не выпустил обновление. Публикация исследования выходит по завершении периода эмбарго. Как сообщили в компании, из публичного отчёта исключены любые детали, которые могут способствовать массовой эксплуатации уязвимости.
Примеры реализации доступны в репозитории исследования. При этом высока вероятность, что данная уязвимость актуальна и для других версий Windows.
Для полного устранения уязвимости требуется исправление со стороны Microsoft. В качестве мер для снижения рисков в компании рекомендуют внедрить мониторинг на базе ETW и ограничить использование SeImpersonatePrivilege.
Читайте также
