Fehler, Neuigkeiten

Microsoft wird PhantomRPC nicht patchen: Feature oder Fehler?

von Pieter Arntz | 29. April 2026
PhantomRPC erweitert die Berechtigungen

Ein Forscher hat eine Schwachstelle namens „PhantomRPC“ entdeckt, die Microsoft nicht als Sicherheitslücke betrachtet, für die ein Patch geplant ist.

PhantomRPC nutzt Windows Procedure Call (RPC), das Herzstück der Kommunikation zwischen Windows . Die Sicherheitslücke ermöglicht es einem Prozess mit Identitätswechselrechten, seine Berechtigungen auf das SYSTEM-Niveau zu erweitern, indem er sich als hochprivilegierte Clients ausgibt, die eine Verbindung zu einem gefälschten RPC-Server herstellen.

Der Forscher legte einen detaillierten technischen Bericht vor, in dem fünf Angriffswege beschrieben wurden, darunter Nötigung, Benutzerinteraktion oder Hintergrunddienste. Er warnte, dass die potenziellen Angriffsvektoren „praktisch unbegrenzt“ seien, da das Grundproblem architektonischer Natur sei.

Microsoft stufte das Problem jedoch als „moderat“ ein, lehnte eine Prämie ab, verzichtete auf die Vergabe einer CVE-Nummer (ein Eintrag in der Liste der Common Vulnerabilities and Exposures) und schloss den Fall ohne weitere Nachverfolgung. Das Unternehmen vertritt den Standpunkt, dass die Technik einen bereits kompromittierten Rechner voraussetzt und keinen nicht authentifizierten oder Fernzugriff ermöglicht.

Experten widersprachen der Einschätzung von Microsoft. Sie befürchten, dass Microsoft eine systemische Methode zur Ausweitung lokaler Berechtigungen herunterspielt, die in allen unterstützten Windows vorhanden ist.

Das Thema

Das Kernproblem besteht darin, dass die Windows nicht ausreichend überprüft, ob der Server, mit dem sich ein Client mit hohen Berechtigungen verbindet, tatsächlich der beabsichtigte legitime Endpunkt ist.

Wenn ein legitimer RPC-Server nicht erreichbar ist (beispielsweise weil der Dienst beendet wurde, falsch konfiguriert oder nicht installiert ist oder aufgrund einer Race Condition), kann ein Angreifer mit der Berechtigung „SeImpersonatePrivilege“ einen gefälschten RPC-Server starten, der diese Lücke unter Verwendung derselben Schnittstelle und desselben Endpunkts „füllt“.

Wenn sich ein SYSTEM-Benutzer oder ein Benutzer mit hohen Berechtigungen mit diesem gefälschten Server verbindet und dabei eine Identitätsübernahme-Stufe verwendet, die es dem Server ermöglicht, sich als dieser Benutzer auszugeben, kann der Angreifer RpcImpersonateClient und ihre Berechtigungen sofort auf SYSTEM erweitern.

Aus Sicht von Microsoft fällt die Möglichkeit, auf diese Weise einen nicht autorisierten RPC-Server zu betreiben, unter die Kategorie „bereits kompromittiert“.

SeImpersonatePrivilege

Um das Problem besser zu verstehen, müssen wir uns genauer ansehen, was „SeImpersonatePrivilege“ bewirkt.

Im Grunde genommen ist „SeImpersonatePrivilege“ die Windows , die es einem Programm ermöglicht, sich nach Ihrer Anmeldung als Sie auszugeben, sodass es in Ihrem Namen und mit Ihren Zugriffsrechten Aktionen ausführen kann.

Dies ist erforderlich, da viele Systemdienste und serverbasierte Anwendungen (Dateifreigaben, RPC-Server, COM-Server, Webanwendungen) im Auftrag eines Benutzers Aktionen ausführen müssen, beispielsweise das Lesen seiner Dateien oder das Anwenden von Gruppenrichtlinien.

Erlangt ein Angreifer diese Berechtigung, kann er einen gefälschten Dienst oder Server erstellen und darauf warten, dass ein Konto mit höheren Berechtigungen eine Verbindung zu diesem herstellt. Sobald dieser Dienst mit hohen Berechtigungen eine Verbindung aufnimmt, kann der Angreifer dessen Sicherheitstoken abfangen und sich als dieser ausgeben, wodurch er effektiv von einem Konto mit geringeren Berechtigungen auf die vollständige SYSTEM-Kontrolle über diesen Rechner aufsteigt.

Schutz

Ein Microsoft-Sprecher gab folgende Stellungnahme ab:

„Diese Technik setzt einen bereits kompromittierten Rechner voraus und ermöglicht keinen nicht authentifizierten oder Fernzugriff. Bei jedem Update müssen wir einen Kompromiss zwischen bestehender Kompatibilität und Kundenrisiko finden, und wir sind weiterhin bestrebt, unsere Produkte kontinuierlich zu sichern. Wir empfehlen unseren Kunden, bewährte Sicherheitsverfahren zu befolgen, darunter die Einschränkung von Administratorrechten und die Anwendung des Prinzips der geringsten Berechtigungen.“

Unserer Meinung nach würde eine ordnungsgemäße Behebung von PhantomRPC tiefgreifende Änderungen an der RPC-Architektur erfordern, was bei bestehenden Windows nur schwer zu bewerkstelligen ist, ohne die Kompatibilität zu beeinträchtigen. Angesichts des Umfangs der erforderlichen Änderungen ist dies vielleicht etwas, das wir erst in zukünftigen Versionen sehen werden.

Was Sie tun können:

  • Da PhantomRPC Teil einer größeren Kette ist, ist es nach wie vor sehr wichtig, Windows zu halten.
  • Verwenden Sie Ihr Administratorkonto nur in Maßen und ausschließlich für Aufgaben, die diese Berechtigungen erfordern.
  • Verwenden Sie eine aktuelle Echtzeit-Anti-Malware-Lösung, die verdächtige Aktivitäten zur Rechteausweitung erkennen und blockieren kann.
  • Vermeiden Sie es, Dienste blindlings zu deaktivieren oder zu „härten“, da ein bösartiger Dienst an ihre Stelle treten könnte.

Um die Frage im Titel zu beantworten: Es scheint sich um eine „Funktion“ zu handeln, die auf vielfältige Weise missbraucht werden kann und deren ursprüngliches Bedrohungsmodell längst überholt ist. Sicherheitsverantwortliche müssen sie als fortbestehende Risiken betrachten und nicht als einmalige CVEs.

CNET-Auszeichnung „Editors' Choice“ 2026

„Eine der besten Cybersicherheits-Suiten weltweit.“ 

Laut CNET.Lesen Sie den Testbericht

Über den Autor

Pieter Arntz

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.

NEUESTE ARTIKEL

Nachrichten
SMS schreiben

Betrug mit gefälschten CAPTCHAs verwandelt einen kurzen Klick in eine hohe Telefonrechnung

April 28, 2026

Betrüger nutzen gefälschte CAPTCHA-Seiten, um internationale SMS-Gebühren auf den Telefonrechnungen ihrer Opfer anzuhäufen und sich dann einen Teil davon unter den Nagel zu reißen.

Nachrichten
Woche der Sicherheit

Eine Woche im Bereich Sicherheit ( 20 – 26 April)

April 27, 2026

Eine Liste der Themen, die wir in der Woche vom 20. bis 26. April 2026 behandelt haben

Nachrichten
DNA-Test

Medizinische Daten von 500.000 Freiwilligen aus Großbritannien werden auf Alibaba zum Verkauf angeboten

April 24, 2026

Trotz strenger Zugangskontrollen wurden medizinische Daten von einer halben Million Freiwilliger der UK Biobank auf Alibaba zum Verkauf angeboten.

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug