PhantomRPC: уязвимость Windows, позволяющая получить права SYSTEM
reddit перевод windows rpc phantomrpc уязвимость безопасность

PhantomRPC: уязвимость Windows, позволяющая получить права SYSTEM

28 апреля 2026 г.

Тема всплыла из обсуждения на r/sysadmin: пост о новой уязвимости PhantomRPC собрал более четырёх тысяч голосов за сутки, а значит, коснулся почти каждого администратора.

Что такое PhantomRPC и как он работает

Исследователи Kaspersky нашли в подсистеме вызовов удалённой процедуры (RPC) способ, при котором процесс с правом SeImpersonatePrivilege может подменить недоступный сервер‑конечную точку поддельным сервером. Когда к нему подключается клиент с правами SYSTEM, атакующий вызывает RpcImpersonateClient и получает те же привилегии.

Пять подтверждённых путей эскалации:

  • gpupdate /force → SYSTEM (через службу групповой политики)
  • Запуск Microsoft Edge → администратор (без принуждения)
  • Фоновый сервис WDI → SYSTEM (активируется каждые 5–15 минут)
  • ipconfig при отключённом DHCP → администратор
  • w32tm.exe → администратор через несуществующий именованный канал

Microsoft оценил уязвимость как умеренную, не присвоив CVE и не планируя патч, ссылаясь на то, что SeImpersonatePrivilege уже необходим для её использования.

Что говорят комментаторы

«Если у вас уже есть SeImpersonatePrivilege, вы уже в дерьме», — DeadOnToilet
«Это не новая уязвимость, а лишь способ использовать уже имеющиеся права», — justaguyonthebus
«TLDR: если у вас админские привилегии, у вас админские привилегии», — ZAFJB
«Ничего нового, просто очередной способ обойти уже известные ограничения», — andrewpiroli

Почему это важно за пределами Windows

Техника не требует уязвимого кода, а лишь возможность имитировать RPC‑сервер. Поэтому любой сервер, где администраторы дают себе SeImpersonatePrivilege (IIS, SQL), может стать точкой входа. В корпоративных сетях, где часто включён удалённый доступ, это превращается в быстрый путь к полномочиям SYSTEM.

Анализ рынка: что уже существует

В России

  • Kaspersky Security Center — платформа управления безопасностью, умеет собирать события ETW, но нет готовых правил для RPC_S_SERVER_UNAVAILABLE.
  • Агент «Андромеда» — локальный мониторинг, умеет фиксировать сбои служб, однако не специализируется на RPC‑трафике.

За рубежом

  • Securelist (Kaspersky) — аналитические отчёты, в том числе подробный разбор PhantomRPC, но без автоматических средств защиты.
  • DigitalWarfare — публикации о новых уязвимостях, предоставляют PoC‑коды, но не сервисы мониторинга.
  • DarkReading — новостной ресурс, иногда публикует готовые правила Sigma, однако их нужно вручную импортировать в SIEM.
  • EventLog Analyzer (ManageEngine) — собирает события Windows, но готовых шаблонов для этой уязвимости нет.

Незакрытая ниша: в России отсутствует SaaS‑сервис, генерирующий готовые Sigma‑правила и оповещения по ETW‑событию RPC_S_SERVER_UNAVAILABLE, адаптированный под отечественные средства мониторинга.

💡 Идеи для предпринимательства

Сайты

  • Генератор Sigma‑правил для RPC‑уязвимостей — вводишь тип уязвимости, получаешь готовый набор правил, скачиваешь в формате JSON.
  • База кейсов локального повышения привилегий — каталог техник с пошаговыми инструкциями, фильтрация по ОС и требуемым правам.

Мобильные приложения

  • Telegram‑бот «RPC‑Watch» — подписка на оповещения о новых уязвимостях RPC, мгновенные push‑уведомления и ссылки на PoC.
  • Android‑утилита «ETW‑Sniffer» — локальный клиент, собирает события RPC_S_SERVER_UNAVAILABLE и отправляет их в облако для аналитики.

Бизнес‑идеи

  • Однопользовательский SaaS‑мониторинг ETW‑событий — небольшая облачная панель, где администратор подключает сервер по агенту и получает графики риска в реальном времени.
  • Консультация по «hardening» RPC‑служб — разовый аудит, настройка ограничений SeImpersonatePrivilege и внедрение правил реагирования.

Читайте также

Аудио-версия статьи:

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Recent Post

Categories


PREVIOUS ARTICLE
NEXT ARTICLE