Pesquisadores Revelam Nova Técnica de Escalada de Privilégios no Windows RPC
Um pesquisador da Kaspersky descobriu uma vulnerabilidade na arquitetura Windows RPC que permite a escalada local de privilégios até o nível SYSTEM. A técnica, chamada PhantomRPC, explora a forma como o RPC lida com conexões de clientes a servidores, permitindo que um processo malicioso intercepte e se passe por serviços legítimos.
MundiX News·10 de maio de 2026·3 min de leitura·👁 1 views
Pesquisadores Revelam Nova Técnica de Escalada de Privilégios no Windows RPC
O pesquisador Haydar Kabibo, do centro de serviços de cibersegurança da Kaspersky, descobriu uma vulnerabilidade na arquitetura Windows RPC (Remote Procedure Call) que permite a escalada local de privilégios, chegando até o nível SYSTEM. A técnica, batizada de PhantomRPC, foi apresentada na conferência Black Hat Asia 2026. A descoberta destaca uma falha na forma como o RPC lida com as conexões de clientes a servidores, abrindo portas para ataques sofisticados.
A falha reside na maneira como o ambiente de execução RPC (rpcrt4.dll) processa as conexões de clientes a servidores. O Windows não verifica a legitimidade dos servidores RPC, permitindo que um processo de terceiros implante um servidor com o mesmo endpoint de um serviço legítimo. Em essência, se um invasor comprometer um processo com o privilégio SeImpersonatePrivilege (presente por padrão nas contas Local Service e Network Service), ele pode levantar um servidor RPC falso, interceptar solicitações de um processo privilegiado e agir em seu nome. Kabibo demonstrou cinco vetores de exploração da vulnerabilidade, mostrando a amplitude do problema.
Um dos vetores explorados envolve a execução do comando gpupdate /force, onde o serviço Group Policy (executado como SYSTEM) tenta se conectar à interface RPC do serviço de Área de Trabalho Remota, que por padrão está desabilitado. O atacante pode então substituir o TermService por um servidor RPC falso e obter privilégios SYSTEM. Outro vetor não requer qualquer ação do usuário: o serviço de diagnóstico em segundo plano WDI executa chamadas RPC para o TermService a cada 5 a 15 minutos com alto nível de impersonação. O invasor só precisa esperar pela próxima chamada. Ataques semelhantes são possíveis através do Microsoft Edge (ao iniciar o navegador, ele também acessa o TermService), através do cliente DHCP (com o comando ipconfig) e através do serviço Windows Time (com a ferramenta w32tm.exe). Este último vetor é notável por funcionar mesmo que o serviço de tempo legítimo esteja em execução (a ferramenta tenta acessar um endpoint inexistente).
O problema é de natureza arquitetural, e o número de vetores de ataque potenciais é, na prática, ilimitado, pois qualquer novo serviço dependente do RPC pode se tornar outro caminho para a escalada de privilégios. A Kaspersky notificou a Microsoft sobre a vulnerabilidade em setembro de 2025. No entanto, a Microsoft atribuiu à questão apenas uma gravidade média e se recusou a lançar um patch, indicando que o invasor já precisava do privilégio SeImpersonatePrivilege para a exploração. A vulnerabilidade não recebeu um identificador CVE, e o apelo foi encerrado sem acompanhamento adicional. Como resultado, a pesquisa foi publicada após o término do período de embargo, e exemplos de exploits já estão disponíveis em um repositório no GitHub.
Para mitigar os riscos, as organizações são aconselhadas a implementar o monitoramento baseado em ETW para rastrear exceções RPC e restringir o uso de SeImpersonatePrivilege em processos onde esse privilégio não é essencial. "Devido à sua complexidade e ampla disseminação, o mecanismo RPC sempre foi uma fonte de muitos problemas de segurança. Nos últimos anos, os pesquisadores descobriram inúmeras vulnerabilidades em serviços que usam RPC, desde a escalada local de privilégios até a execução remota completa de código", comenta Haydar Kabibo. "Como o problema subjacente reside em um erro na própria arquitetura, o número de vetores de ataque potenciais é, na verdade, ilimitado: qualquer novo processo ou serviço dependente do RPC pode se tornar um caminho adicional para a escalada de privilégios. Os métodos de exploração podem variar de sistema para sistema, dependendo, por exemplo, dos componentes instalados, das bibliotecas DLL usadas nas interações RPC e da disponibilidade dos servidores RPC correspondentes."
Pesquisadores Revelam Nova Técnica de Escalada de Privilégios no Windows RPC
O pesquisador Haydar Kabibo, do centro de serviços de cibersegurança da Kaspersky, descobriu uma vulnerabilidade na arquitetura Windows RPC (Remote Procedure Call) que permite a escalada local de privilégios, chegando até o nível SYSTEM. A técnica, batizada de PhantomRPC, foi apresentada na conferência Black Hat Asia 2026. A descoberta destaca uma falha na forma como o RPC lida com as conexões de clientes a servidores, abrindo portas para ataques sofisticados.
A falha reside na maneira como o ambiente de execução RPC (rpcrt4.dll) processa as conexões de clientes a servidores. O Windows não verifica a legitimidade dos servidores RPC, permitindo que um processo de terceiros implante um servidor com o mesmo endpoint de um serviço legítimo. Em essência, se um invasor comprometer um processo com o privilégio SeImpersonatePrivilege (presente por padrão nas contas Local Service e Network Service), ele pode levantar um servidor RPC falso, interceptar solicitações de um processo privilegiado e agir em seu nome. Kabibo demonstrou cinco vetores de exploração da vulnerabilidade, mostrando a amplitude do problema.
Um dos vetores explorados envolve a execução do comando gpupdate /force, onde o serviço Group Policy (executado como SYSTEM) tenta se conectar à interface RPC do serviço de Área de Trabalho Remota, que por padrão está desabilitado. O atacante pode então substituir o TermService por um servidor RPC falso e obter privilégios SYSTEM. Outro vetor não requer qualquer ação do usuário: o serviço de diagnóstico em segundo plano WDI executa chamadas RPC para o TermService a cada 5 a 15 minutos com alto nível de impersonação. O invasor só precisa esperar pela próxima chamada. Ataques semelhantes são possíveis através do Microsoft Edge (ao iniciar o navegador, ele também acessa o TermService), através do cliente DHCP (com o comando ipconfig) e através do serviço Windows Time (com a ferramenta w32tm.exe). Este último vetor é notável por funcionar mesmo que o serviço de tempo legítimo esteja em execução (a ferramenta tenta acessar um endpoint inexistente).
O problema é de natureza arquitetural, e o número de vetores de ataque potenciais é, na prática, ilimitado, pois qualquer novo serviço dependente do RPC pode se tornar outro caminho para a escalada de privilégios. A Kaspersky notificou a Microsoft sobre a vulnerabilidade em setembro de 2025. No entanto, a Microsoft atribuiu à questão apenas uma gravidade média e se recusou a lançar um patch, indicando que o invasor já precisava do privilégio SeImpersonatePrivilege para a exploração. A vulnerabilidade não recebeu um identificador CVE, e o apelo foi encerrado sem acompanhamento adicional. Como resultado, a pesquisa foi publicada após o término do período de embargo, e exemplos de exploits já estão disponíveis em um repositório no GitHub.
Para mitigar os riscos, as organizações são aconselhadas a implementar o monitoramento baseado em ETW para rastrear exceções RPC e restringir o uso de SeImpersonatePrivilege em processos onde esse privilégio não é essencial. "Devido à sua complexidade e ampla disseminação, o mecanismo RPC sempre foi uma fonte de muitos problemas de segurança. Nos últimos anos, os pesquisadores descobriram inúmeras vulnerabilidades em serviços que usam RPC, desde a escalada local de privilégios até a execução remota completa de código", comenta Haydar Kabibo. "Como o problema subjacente reside em um erro na própria arquitetura, o número de vetores de ataque potenciais é, na verdade, ilimitado: qualquer novo processo ou serviço dependente do RPC pode se tornar um caminho adicional para a escalada de privilégios. Os métodos de exploração podem variar de sistema para sistema, dependendo, por exemplo, dos componentes instalados, das bibliotecas DLL usadas nas interações RPC e da disponibilidade dos servidores RPC correspondentes."
