PhantomRPC, una vulnerabilidad en Windows que permite escalar privilegios mediante servidores falsos
- Seguridad
La debilidad, presente en el diseño de la arquitectura RPC de Windows, abre la puerta a obtener permisos elevados sin explotar un componente concreto. El riesgo es especialmente significativo porque cualquier nuevo proceso o servicio que dependa de RPC podría introducir una vía adicional de ataque, apunta Kaspersky.
Kaspersky ha identificado PhantomRPC, una vulnerabilidad estructural en la arquitectura Remote Procedure Call (RPC) de Windows que permite a los atacantes obtener privilegios elevados a nivel local mediante la creación de servidores falsos.
La comunicación entre procesos en Windows (IPC) es uno de los subsistemas más complejos del sistema operativo. En su núcleo se encuentra RPC, que actúa tanto como canal de comunicación independiente como base para tecnologías IPC de nivel superior.
El sistema RPC permite que un proceso ejecute funciones ubicadas en otro proceso, incluso si ambos operan en contextos distintos. Esta flexibilidad, esencial para el funcionamiento de Windows, es también la razón por la que una debilidad en su diseño puede tener un impacto tan amplio.
Los analistas han determinado que esta vulnerabilidad posibilita una nueva forma de escalada de privilegios, sin depender de un fallo aislado en un componente del sistema. Cuando un proceso dispone de privilegios de suplantación, un atacante puede aprovechar esta característica para obtener acceso con nivel SYSTEM, el más alto en Windows.
Un problema estructural con múltiples vías de explotación
Para demostrar el alcance del fallo, Kaspersky analizó cinco posibles vías de explotación capaces de escalar privilegios desde distintos contextos locales o servicios de red hasta cuentas con permisos elevados o acceso total al sistema.
El riesgo es especialmente significativo porque la vulnerabilidad no reside en un módulo concreto, sino en el propio diseño del ecosistema RPC. Esto implica que el número de vectores potenciales es prácticamente ilimitado: cualquier nuevo proceso o servicio que dependa de RPC podría introducir una vía adicional de ataque.
“Las rutas exactas de explotación pueden variar de un sistema a otro, en función del software instalado, las DLL implicadas en la comunicación RPC o la disponibilidad de los servidores RPC correspondientes. Esta variabilidad hace que la vulnerabilidad sea especialmente relevante para que las empresas evalúen su exposición y definan estrategias de mitigación adecuadas”, explica Haidar Kabibo, especialista en seguridad de aplicaciones en Kaspersky.
La compañía recomienda a las organizaciones adoptar medidas para detectar y mitigar posibles abusos, entre ellas implementar monitorización basada en ETW (Event Tracing for Windows) para identificar excepciones RPC, especialmente cuando clientes intentan conectarse a servidores no disponibles; y limitar el uso del privilegio SeImpersonatePrivilege, que debe restringirse estrictamente a los procesos que lo necesiten.
