- A vulnerabilidade PhantomRPC no Windows permite elevar privilégios para o nível SYSTEM, afetando potencialmente todas as versões do sistema e sem correção prevista pela Microsoft.
- A falha explora o mecanismo RPC (Remote Procedure Call) e a impersonation, permitindo que um servidor RPC falso substitua serviços legítimos sem validação de identidade.
- A Kaspersky mostrou cinco caminhos de exploração, começando por serviços com privilégios intermediários, como Network Service ou Local Service, para alcançar o SYSTEM.
- Os caminhos envolvem: Group Policy, diagnóstóstico WDI, Microsoft Edge e, ainda, dois cenários com DHCP Client e w32tm.exe, todos interceptando chamadas RPC para obter acesso elevado.
- A Microsoft classificou o problema como severidade moderada em setembro de 2025, ainda sem CVE nem patch anunciado; recomenda monitorar exceções de RPC e restringir a permissão SeImpersonatePrivilege.
A Kaspersky revelou uma falha no mecanismo de comunicação interna do Windows que permite elevar privilégios até o nível SYSTEM. Batizada PhantomRPC, a vulnerabilidade afeta potencialmente todas as versões do Windows e ainda não tem correção prevista pela Microsoft.
O problema ocorre no RPC, o mecanismo de Remote Procedure Call usado para pedir a execução de funções entre processos. Além disso, o recurso de impersonation permite que serviços assumam temporariamente a identidade de outros processos.
Segundo a Kaspersky, o Windows não verifica a legitimidade do servidor RPC com quem um processo se comunica. Um invasor pode criar um servidor RPC falso que se apresenta como um serviço real, sem que o sistema operacional rejeite a conexão.
Como funciona na prática
O ataque precisa comprometer um serviço com privilégio intermediário, como Network Service ou Local Service. Esses serviços têm a permissão SeImpersonatePrivilege, que autoriza impersonar outro processo.
Com esse acesso, o atacante sobe um servidor RPC falso que imita um serviço legítimo e intercepta a comunicação de processos mais privilegiados.
Antes de a falha ser divulgada, o pesquisador demonstrou cinco caminhos diferentes para elevar privilégios via PhantomRPC.
Caminhos de exploração
O primeiro envolve o serviço Group Policy, que roda com privilégio SYSTEM. Durante gpupdate /force, a comunicação com o TermService é interceptada pelo servidor falso e o ataque obtém acesso SYSTEM.
O segundo caminho ocorre sem interação: o serviço WDI faz chamadas ao TermService a cada 5 a 15 minutos. O invasor espera a próxima chamada para impersonar SYSTEM.
Um terceiro caminho envolve o Microsoft Edge, que inicia com uma chamada RPC ao TermService. Se um administrador abrir o Edge, o servidor falso eleva privilégios de Network Service para Administrator.
Dois caminhos adicionais partem de uma conta Local Service: o DHCP Client pode ser explorado quando um administrador roda ipconfig, e o executável w32tm.exe pode se conectar a um endpoint RPC inexistente, levando à exposição de um endpoint pelo servidor falso.
Situação atual
A Microsoft classificou a vulnerabilidade como severidade moderada, em setembro de 2025, citando a necessidade da permissão SeImpersonatePrivilege. Não existe CVE nem patch disponíveis, e a Kaspersky recomenda monitorar exceções de RPC, manter serviços legítimos ativos e restringir SeImpersonatePrivilege.
A companhia divulgou a pesquisa após o fim do embargo, informando que a exploração é viável em cenários reais com as condições descritas. O alerta ressalta a importância de controles de acesso e supervisão em ambientes Windows.
Acompanhe o TecMundo para mais informações sobre segurança e tecnologia.
Entre na conversa da comunidade