Результаты исследования были представлены на конференции Black Hat Asia 2026
Эксперт центра сервисов по кибербезопасности «Лаборатории Касперского» обнаружил уязвимость в архитектуре удалённого вызова процедур Windows, позволяющую реализовать ранее неизвестную технику локального повышения привилегий. Она получила название PhantomRPC. Результаты исследования были представлены на конференции Black Hat Asia 2026.
Компания описала пять векторов эксплуатации обнаруженной уязвимости, позволяющих повышать привилегии из контекста различных локальных или сетевых служб до уровня SYSTEM или высокопривилегированных пользователей. Некоторые техники основаны на принуждении, другие требуют пользовательских действий или задействуют фоновые службы.
«Из-за своей сложности и широкой распространённости механизм RPC всегда был источником множества проблем безопасности. За прошедшие годы исследователи обнаружили многочисленные уязвимости в службах, использующих RPC, — от локального повышения привилегий до полноценного удалённого выполнения кода, — объясняет Хайдар Кабибо, эксперт центра сервисов по кибербезопасности „Лаборатории Касперского“. — Поскольку в основе проблемы лежит просчёт в самой архитектуре, количество потенциальных векторов атак фактически не ограничено: любой новый процесс или служба, зависящие от RPC, могут стать дополнительным путём повышения привилегий. Способы эксплуатации могут различаться от системы к системе в зависимости, например, от установленных компонентов, библиотек DLL, используемых в RPC-взаимодействиях, и доступности соответствующих RPC-серверов».
«Лаборатория Касперского» уведомила Microsoft об уязвимости. Однако в настоящий момент вендор не выпустил обновление, устраняющее её, и исследование выходит по завершении периода эмбарго. В соответствии с принципами координированного раскрытия уязвимостей из публичного отчёта исключены любые детали, которые могут поспособствовать массовой эксплуатации или ускорить её.
Полный отчёт об уязвимости опубликован на Securelist.ru.
Примеры реализации доступны в репозитории исследования. При этом высока вероятность, что данная уязвимость актуальна и для других версий Windows.
Для полного устранения уязвимости требуется исправление со стороны Microsoft. Однако организации могут принять меры для обнаружения и снижения рисков её возможной эксплуатации, в частности, внедрить мониторинг на базе ETW и ограничить использование SeImpersonatePrivilege.
