){kind=link}
A Kaspersky divulgou uma vulnerabilidade no mecanismo de comunicação interna do Windows que permite elevar privilégios até o nível SYSTEM. A falha foi batizada de PhantomRPC pelo pesquisador Haidar Kabibo. Afeta potencialmente todas as versões do Windows e ainda não tem correção prevista.
O mecanismo usado para processos “conversarem” no Windows é o RPC, sigla para Remote Procedure Call. Basicamente, ele permite que um processo peça a outro que execute uma função, mesmo em contextos separados. É assim que boa parte dos serviços internos do Windows funcionam.
smart_display
Nossos vídeos em destaque
O Windows também tem um recurso chamado impersonation, ou impersonação. Ele permite que um serviço assuma temporariamente a identidade de outro processo para realizar uma tarefa. Um serviço de impressão, por exemplo, pode agir como o usuário que enviou o documento para acessar determinados arquivos.
O problema é que o Windows não verifica se o servidor RPC com quem um processo tenta se comunicar é legítimo. Um invasor pode criar um servidor RPC falso fingindo ser um serviço real. O sistema operacional não barra essa conexão.
Como o ataque funciona na prática
Para explorar o PhantomRPC, o atacante precisa comprometer um serviço com privilégio intermediário, como os que rodam sob as contas Network Service ou Local Service. Essas contas têm uma permissão chamada SeImpersonatePrivilege, que autoriza um processo a impersonar outro. Com esse acesso, o atacante sobe um servidor RPC falso que imita um serviço legítimo.
Quando um processo mais privilegiado tenta se comunicar com o serviço real e não consegue, a requisição vai parar no servidor falso. Ele então assume a identidade do processo privilegiado e age em seu nome. O pesquisador demonstrou cinco caminhos diferentes para executar esse ataque.
)
Cinco formas de escalar privilégios
O primeiro caminho envolve o serviço Group Policy, que roda com privilégio SYSTEM. Quando o comando gpupdate /force é executado, esse serviço tenta se comunicar com o TermService, o serviço de área de trabalho remota. O TermService fica inativo por padrão, então o servidor falso intercepta a requisição e o atacante obtém acesso SYSTEM.
O segundo caminho não exige interação alguma. O serviço WDI, responsável por diagnósticos do sistema, faz chamadas automáticas ao TermService a cada 5 a 15 minutos. O atacante apenas aguarda a próxima chamada para impersonar o contexto SYSTEM.
O terceiro caminho envolve o Microsoft Edge. Ao iniciar, o navegador faz uma chamada RPC ao TermService. Se um administrador abrir o Edge, o servidor falso intercepta a requisição e eleva os privilégios do atacante de Network Service para Administrator.
)
Os dois últimos caminhos partem de uma conta Local Service. Um explora o serviço DHCP Client e aguarda um administrador rodar o ipconfig. O outro abusa do executável w32tm.exe, de sincronização de horário, que tenta se conectar a um endpoint RPC inexistente no serviço legítimo. O atacante cria um servidor falso que expõe justamente esse endpoint.
Microsoft não vai corrigir agora
A Kaspersky relatou a vulnerabilidade ao Microsoft Security Response Center em setembro de 2025. Vinte dias depois, a Microsoft classificou o problema como severidade moderada. A justificativa foi que o ataque exige a permissão SeImpersonatePrivilege no processo do atacante.
Sem CVE atribuído e sem previsão de patch, a Kaspersky publicou a pesquisa após o fim do período de embargo. O pesquisador recomenda monitorar exceções de RPC, manter serviços legítimos ativos e restringir a permissão SeImpersonatePrivilege a processos que realmente precisam dela.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.