Se ha emitido una alerta técnica, una vulnerabilidad profunda de diseño en el componente de Llamado a Procedimiento Remoto (RPC) de Windows. Descubierta por investigadores de seguridad, esta falla permite la escalada de privilegios locales (LPE) hasta el nivel SYSTEM y afecta potencialmente a todas las versiones modernas de Windows. La situación es particularmente riesgosa debido a que Microsoft ha clasificado el problema como de severidad moderada y ha cerrado el reporte original sin asignar un identificador CVE ni programar el lanzamiento de un parche de seguridad.
Anatomía del Ataque
PhantomRPC no es un fallo tradicional de corrupción de memoria, sino una debilidad arquitectónica en cómo el runtime de RPC de Windows (rpcrt4.dll) maneja las conexiones hacia servidores RPC que no están disponibles o han sido desactivados:
- Interceptación de Endpoints Inactivos: Cuando un proceso con altos privilegios intenta realizar una llamada RPC a un servidor que está fuera de línea (por ejemplo, un servicio deshabilitado), el runtime no verifica estrictamente la legitimidad de quien responde a esa llamada. Un atacante controlando un proceso con privilegios bajos (como NT AUTHORITY\NETWORK SERVICE) puede desplegar un servidor RPC malicioso que imite el endpoint inactivo.
- Abuso de API (RpcImpersonateClient): Una vez que el cliente privilegiado se conecta al servidor falso del atacante con un nivel de suplantación alto, el servidor malicioso invoca la API RpcImpersonateClient. Esto permite al proceso del atacante asumir instantáneamente el contexto de seguridad del cliente, saltando directamente de una cuenta de servicio hacia privilegios de SYSTEM o Administrador.
- Vectores de Explotación Silenciosos: Se han demostrado 5 rutas de explotación funcionales, incluyendo algunas que no requieren interacción del usuario. Por ejemplo, el servicio en segundo plano Diagnostic System Host (WdiSystemHost), que corre como SYSTEM, realiza sondeos automáticos a TermService cada 5 a 15 minutos. Si TermService está desactivado, el atacante solo necesita esperar pasivamente la llamada para interceptarla y escalar privilegios. Otras rutas incluyen la ejecución de gpupdate /force o el simple inicio de Microsoft Edge.
Impacto
- Compromiso Total del Host: El acceso SYSTEM otorga al atacante el control total sobre la máquina local, permitiendo la desactivación de EDR, robo de credenciales LSASS y persistencia profunda.
- Ventaja Táctica por Falta de Parche: Al argumentar que el ataque requiere que la cuenta inicial tenga SeImpersonatePrivilege (un privilegio que cuentas como Network Service ya poseen por defecto), Microsoft no emitirá un parche. Esto convierte a PhantomRPC en una técnica operativa permanente (forever-day) para el movimiento lateral y escalada de los actores de amenazas.
Recomendaciones y Mitigación
Dado que no existe una actualización de software para solucionar esta brecha arquitectónica, los equipos de defensa y SOC deben implementar mitigaciones preventivas y de detección:
- Monitorización Activa (ETW): Habilitar el monitoreo de RPC basado en ETW (Event Tracing for Windows). Configurar alertas en el SIEM para el ID de evento 1 (RPC_S_SERVER_UNAVAILABLE), especialmente cuando ocurra en combinación con niveles de suplantación altos por parte de procesos privilegiados.
- Ocupación de Endpoints (Hardening): Siempre que sea factible para el negocio, habilitar los servicios legítimos comúnmente apuntados (como TermService) para que el endpoint RPC legítimo esté “ocupado” y no pueda ser secuestrado por el servidor falso del atacante.
- Restricción de SeImpersonatePrivilege: Auditar los permisos de las cuentas de servicio en el dominio. Limitar estrictamente el privilegio SeImpersonatePrivilege solo a los procesos de Windows que lo requieran absolutamente. Jamás debe otorgarse a aplicaciones de terceros o cuentas de servicio personalizadas.
- Auditoría de Entorno (Cacería): Utilizar las herramientas de investigación publicadas por Kaspersky en el repositorio de GitHub de PhantomRPC para auditar proactivamente el entorno corporativo y detectar patrones de llamadas RPC explotables.
