{"id":594855,"date":"2026-04-30T16:45:00","date_gmt":"2026-04-30T19:45:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/04\/30\/falha-no-windows-permite-tomada-de-controle-do-sistema-por-invasores\/"},"modified":"2026-04-30T16:45:00","modified_gmt":"2026-04-30T19:45:00","slug":"falha-no-windows-permite-tomada-de-controle-do-sistema-por-invasores","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/04\/30\/falha-no-windows-permite-tomada-de-controle-do-sistema-por-invasores\/","title":{"rendered":"Falha no Windows permite tomada de controle do sistema por invasores"},"content":{"rendered":"<p>A Kaspersky revelou uma falha no mecanismo de comunica\u00e7\u00e3o interna do Windows que permite elevar privil\u00e9gios at\u00e9 o n\u00edvel SYSTEM. Batizada PhantomRPC, a vulnerabilidade afeta potencialmente todas as vers\u00f5es do Windows e ainda n\u00e3o tem corre\u00e7\u00e3o prevista pela Microsoft.<\/p>\n<p>O problema ocorre no RPC, o mecanismo de Remote Procedure Call usado para pedir a execu\u00e7\u00e3o de fun\u00e7\u00f5es entre processos. Al\u00e9m disso, o recurso de impersonation permite que servi\u00e7os assumam temporariamente a identidade de outros processos.<\/p>\n<p>Segundo a Kaspersky, o Windows n\u00e3o verifica a legitimidade do servidor RPC com quem um processo se comunica. Um invasor pode criar um servidor RPC falso que se apresenta como um servi\u00e7o real, sem que o sistema operacional rejeite a conex\u00e3o.<\/p>\n<h3>Como funciona na pr\u00e1tica<\/h3>\n<p>O ataque precisa comprometer um servi\u00e7o com privil\u00e9gio intermedi\u00e1rio, como Network Service ou Local Service. Esses servi\u00e7os t\u00eam a permiss\u00e3o SeImpersonatePrivilege, que autoriza impersonar outro processo.<\/p>\n<p>Com esse acesso, o atacante sobe um servidor RPC falso que imita um servi\u00e7o leg\u00edtimo e intercepta a comunica\u00e7\u00e3o de processos mais privilegiados.<\/p>\n<p>Antes de a falha ser divulgada, o pesquisador demonstrou cinco caminhos diferentes para elevar privil\u00e9gios via PhantomRPC.<\/p>\n<h3>Caminhos de explora\u00e7\u00e3o<\/h3>\n<p>O primeiro envolve o servi\u00e7o Group Policy, que roda com privil\u00e9gio SYSTEM. Durante gpupdate \/force, a comunica\u00e7\u00e3o com o TermService \u00e9 interceptada pelo servidor falso e o ataque obt\u00e9m acesso SYSTEM.<\/p>\n<p>O segundo caminho ocorre sem intera\u00e7\u00e3o: o servi\u00e7o WDI faz chamadas ao TermService a cada 5 a 15 minutos. O invasor espera a pr\u00f3xima chamada para impersonar SYSTEM.<\/p>\n<p>Um terceiro caminho envolve o Microsoft Edge, que inicia com uma chamada RPC ao TermService. Se um administrador abrir o Edge, o servidor falso eleva privil\u00e9gios de Network Service para Administrator.<\/p>\n<p>Dois caminhos adicionais partem de uma conta Local Service: o DHCP Client pode ser explorado quando um administrador roda ipconfig, e o execut\u00e1vel w32tm.exe pode se conectar a um endpoint RPC inexistente, levando \u00e0 exposi\u00e7\u00e3o de um endpoint pelo servidor falso.<\/p>\n<h3>Situa\u00e7\u00e3o atual<\/h3>\n<p>A Microsoft classificou a vulnerabilidade como severidade moderada, em setembro de 2025, citando a necessidade da permiss\u00e3o SeImpersonatePrivilege. N\u00e3o existe CVE nem patch dispon\u00edveis, e a Kaspersky recomenda monitorar exce\u00e7\u00f5es de RPC, manter servi\u00e7os leg\u00edtimos ativos e restringir SeImpersonatePrivilege.<\/p>\n<p>A companhia divulgou a pesquisa ap\u00f3s o fim do embargo, informando que a explora\u00e7\u00e3o \u00e9 vi\u00e1vel em cen\u00e1rios reais com as condi\u00e7\u00f5es descritas. O alerta ressalta a import\u00e2ncia de controles de acesso e supervis\u00e3o em ambientes Windows.<\/p>\n<p>Acompanhe o TecMundo para mais informa\u00e7\u00f5es sobre seguran\u00e7a e tecnologia.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>A vulnerabilidade PhantomRPC no Windows permite elevar privil\u00e9gios para o n\u00edvel SYSTEM, afetando potencialmente todas as vers\u00f5es do sistema e sem corre\u00e7\u00e3o prevista pela Microsoft.<\/li>\n<li>A falha explora o mecanismo RPC (Remote Procedure Call) e a impersonation, permitindo que um servidor RPC falso substitua servi\u00e7os leg\u00edtimos sem valida\u00e7\u00e3o de identidade.<\/li>\n<li>A Kaspersky mostrou cinco caminhos de explora\u00e7\u00e3o, come\u00e7ando por servi\u00e7os com privil\u00e9gios intermedi\u00e1rios, como Network Service ou Local Service, para alcan\u00e7ar o SYSTEM.<\/li>\n<li>Os caminhos envolvem: Group Policy, diagn\u00f3st\u00f3stico WDI, Microsoft Edge e, ainda, dois cen\u00e1rios com DHCP Client e w32tm.exe, todos interceptando chamadas RPC para obter acesso elevado.<\/li>\n<li>A Microsoft classificou o problema como severidade moderada em setembro de 2025, ainda sem CVE nem patch anunciado; recomenda monitorar exce\u00e7\u00f5es de RPC e restringir a permiss\u00e3o SeImpersonatePrivilege.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":594906,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Vulnerabilidade PhantomRPC permite eleva\u00e7\u00e3o de privil\u00e9gios no Windows via RPC; cinco caminhos de explora\u00e7\u00e3o afetam todas as vers\u00f5es, sem patch anunciado","footnotes":""},"categories":[296,1],"tags":[104,269,100,189],"class_list":["post-594855","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-apps","tag-internacionais","tag-noticia","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/594855","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=594855"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/594855\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/594906"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=594855"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=594855"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=594855"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}