Errores, Noticias

Microsoft no va a corregir PhantomRPC: ¿es una característica o un error?

por Pieter Arntz | 29 de abril de 2026
PhantomRPC eleva los privilegios

Un investigador ha descubierto una falla denominada PhantomRPC que Microsoft no considera una vulnerabilidad para la que tenga previsto lanzar un parche.

PhantomRPC afecta a la llamada a procedimientos Windows (RPC) Windows , el núcleo de la comunicación entre Windows . La vulnerabilidad permite que un proceso con derechos de suplantación de identidad eleve sus privilegios al nivel de SYSTEM al suplantar a clientes con privilegios elevados que se conectan a un servidor RPC falso.

El investigador presentó un informe técnico detallado en el que se describen cinco vías de explotación, entre las que se incluyen la coacción, la interacción con el usuario o los servicios en segundo plano. Advirtió de que los posibles vectores son «prácticamente ilimitados», ya que el problema fundamental es de carácter arquitectónico.

Sin embargo, Microsoft clasificó el problema como «moderado», rechazó la recompensa, se negó a asignarle un CVE (un número de referencia en la lista de Vulnerabilidades y Exposiciones Comunes) y cerró el caso sin asignarle un número de seguimiento. Su postura es que la técnica requiere un equipo que ya haya sido comprometido y no permite el acceso sin autenticación ni el acceso remoto.

Los expertos no estaban de acuerdo con la valoración de Microsoft. Les preocupa que Microsoft esté restando importancia a una técnica sistémica de escalada de privilegios locales que existe en todas Windows compatibles Windows .

El tema

El quid de la cuestión es que el entorno de ejecución Windows no comprueba adecuadamente que el servidor al que se conecta un cliente con privilegios elevados sea el punto final legítimo previsto.

Si no se puede acceder a un servidor RPC legítimo (por ejemplo, porque el servicio se ha detenido, está mal configurado, no está instalado o debido a una condición de carrera), un atacante con el privilegio SeImpersonatePrivilege puede poner en marcha un servidor RPC falso que «cubra el vacío» utilizando la misma interfaz y el mismo punto final.

Cuando un usuario del sistema o un cliente con privilegios elevados se conecta a este servidor falso, utilizando un nivel de suplantación que permite al servidor suplantar al cliente, el atacante puede llamar a RpcImpersonateClient y elevar inmediatamente sus privilegios a SYSTEM.

Desde el punto de vista de Microsoft, la posibilidad de ejecutar un servidor RPC no autorizado de esta manera entra dentro de la categoría de «ya comprometido».

Privilegio de suplantación de identidad

Para comprender mejor el tema, debemos analizar en profundidad qué hace SeImpersonatePrivilege.

En resumen, SeImpersonatePrivilege es el Windows que permite a un programa «hacerse pasar por ti» una vez que ya has iniciado sesión, de modo que pueda realizar acciones en tu nombre utilizando tu nivel de acceso.

Es necesario porque muchos servicios del sistema y aplicaciones de tipo servidor (compartición de archivos, servidores RPC, servidores COM, aplicaciones web) deben realizar acciones en nombre de un usuario, como leer sus archivos o aplicar la política de grupo.

Si un atacante consigue este privilegio, puede crear un servicio o servidor falso y esperar a que una cuenta con mayores privilegios se conecte a él. Cuando ese servicio con privilegios elevados se conecte, el atacante podrá hacerse con su token de seguridad y suplantar su identidad, pasando así de una cuenta con privilegios limitados a tener control total del sistema en ese equipo.

Protección

Un portavoz de Microsoft ha hecho la siguiente declaración:

«Esta técnica requiere un equipo que ya haya sido comprometido y no permite el acceso sin autenticación ni el acceso remoto. Toda actualización supone un equilibrio entre la compatibilidad existente y el riesgo para el cliente, y seguimos comprometidos con el refuerzo continuo de la seguridad de nuestros productos. Recomendamos a los clientes que sigan las mejores prácticas de seguridad, lo que incluye limitar los privilegios administrativos y aplicar el principio del mínimo privilegio».

En nuestra opinión, para mitigar PhantomRPC de forma adecuada sería necesario introducir cambios profundos en la arquitectura RPC, lo cual resulta difícil de llevar a cabo en Windows actuales Windows sin afectar a la compatibilidad. Quizá sea algo que veamos en futuras versiones, dada la magnitud de los cambios necesarios.

Qué puedes hacer:

  • Dado que PhantomRPC forma parte de una cadena más amplia, sigue siendo muy importante mantener Windows .
  • Utiliza tu cuenta de administrador con moderación y solo para las tareas que requieran ese nivel de privilegios.
  • Utilice una solución antimalware actualizada y en tiempo real capaz de detectar y bloquear actividades sospechosas de escalada de privilegios.
  • Evita desactivar o «fortalecer» los servicios a ciegas, ya que un servicio malicioso podría ocupar su lugar.

Para responder a la pregunta del título: parece una «funcionalidad» que puede ser objeto de abuso de muchas maneras; una que ha superado su modelo de amenaza original. Los defensores deben considerarlas riesgos continuos, en lugar de vulnerabilidades puntuales (CVE).

Premio «Elección del equipo editorial» de CNET 2026

«Una de las mejores suites de ciberseguridad del mundo». 

Según CNET.Lee su reseña

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Noticias
escribir mensajes de texto

Una estafa con CAPTCHA falsos convierte un simple clic en una factura telefónica muy elevada

Abril 28, 2026

Los estafadores están utilizando páginas CAPTCHA falsas para acumular cargos por SMS internacionales en las facturas telefónicas de las víctimas y quedarse luego con una parte.

Noticias
semana de la seguridad

Una semana en materia de seguridad (del 20 al 26 de abril)

Abril 27, 2026

Lista de temas que tratamos durante la semana del 20 al 26 de abril de 2026

Noticias
Prueba de ADN

Datos médicos de 500 000 voluntarios del Reino Unido a la venta en Alibaba

Abril 24, 2026

A pesar de los estrictos controles de acceso, los datos médicos de medio millón de voluntarios del UK Biobank acabaron a la venta en Alibaba.

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas