La nueva vulnerabilidad RPC de Windows permite a los atacantes aumentar los privilegios en todas las versiones de Windows

PhantomRPC, una vulnerabilidad arquitectónica recientemente identificada en la llamada a procedimiento remoto (RPC) de Windows que permite la escalación de privilegios locales al acceso a nivel de SISTEMA, lo que podría afectar a todas las versiones de Windows. La investigación fue presentada por el especialista en seguridad de aplicaciones de Kaspersky, Haidar Kabibo, en Black Hat Asia 2026 el 24 de abril y detalla cinco rutas de exploit distintas, ninguna de las cuales ha recibido un parche de Microsoft.

Cuando un proceso con privilegios elevados intenta realizar una llamada RPC a un servidor que está fuera de línea o deshabilitado, el tiempo de ejecución de RPC no verifica si el servidor que responde es legítimo. Esto significa que un atacante que controla un proceso con pocos privilegios, como uno que se ejecuta bajo NT AUTHORITYNETWORK SERVICE, puede implementar un servidor RPC malicioso que imite un punto final legítimo e intercepte esas llamadas. Cuando un cliente privilegiado se conecta al servidor falso con un alto nivel de suplantación, el servidor del atacante llama a esta API para asumir el contexto de seguridad del cliente, escalando desde una cuenta de servicio con pocos privilegios directamente a SISTEMA o Administrador. Cinco rutas de exploit Los investigadores identificaron cinco escenarios de ataque concretos: Coerción de gpupdate.exe: la activación de gpupdate /force hace que el servicio Cliente de directiva de grupo (que se ejecuta como SISTEMA) realice una llamada RPC a TermService.

Si TermService está deshabilitado, el servidor RPC falso del atacante intercepta la llamada, proporcionando acceso a nivel de SISTEMA. La publicación La nueva vulnerabilidad RPC de Windows permite a los atacantes escalar privilegios en todas las versiones de Windows apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗