Bug, Notizie

Microsoft non rilascerà una patch per PhantomRPC: funzionalità o bug?

di Pieter Arntz | 29 aprile 2026
PhantomRPC eleva i privilegi

Un ricercatore ha scoperto una falla denominata PhantomRPC che Microsoft non considera una vulnerabilità per la quale intende rilasciare una patch.

PhantomRPC sfrutta il protocollo RPC ( Windows Procedure Call) Windows , che costituisce il fulcro della comunicazione tra Windows . La vulnerabilità consente a un processo dotato di diritti di impersonificazione di elevare i propri privilegi a livello di SYSTEM, impersonando clienti con privilegi elevati che si connettono a un server RPC fasullo.

Il ricercatore ha presentato una relazione tecnica dettagliata in cui vengono descritti cinque vettori di attacco, tra cui la coercizione, l'interazione con l'utente o i servizi in background. Ha avvertito che i potenziali vettori sono «praticamente illimitati», poiché il problema di fondo è di natura architettonica.

Microsoft, tuttavia, ha classificato il problema come «moderato», ha rifiutato la ricompensa, ha deciso di non assegnare un CVE (un codice nell'elenco delle vulnerabilità e delle esposizioni comuni) e ha chiuso il caso senza assegnargli un numero di tracciamento. La sua posizione è che la tecnica richiede un computer già compromesso e non consente l'accesso non autenticato o remoto.

Gli esperti non hanno condiviso la valutazione di Microsoft. La loro preoccupazione è che Microsoft stia sottovalutando una tecnica sistematica di escalation dei privilegi locali presente in tutte Windows supportate.

Il problema

Il nocciolo della questione è che il runtime Windows non verifica in modo adeguato che il server a cui si connette un client con privilegi elevati sia effettivamente l'endpoint legittimo previsto.

Se un server RPC legittimo non è raggiungibile (ad esempio perché il servizio si è arrestato, è stato configurato in modo errato, non è stato installato o a causa di una condizione di competizione), un aggressore in possesso del privilegio SeImpersonatePrivilege può avviare un server RPC falso che «colma il vuoto» utilizzando la stessa interfaccia e lo stesso endpoint.

Quando un utente SYSTEM o un utente con privilegi elevati si connette a questo server fasullo, utilizzando un livello di impersonificazione che consente al server di assumere l'identità del cliente, l'autore dell'attacco può richiamare RpcImpersonateClient e elevare immediatamente i loro privilegi a livello SYSTEM.

Dal punto di vista di Microsoft, la possibilità di eseguire un server RPC non autorizzato in questo modo rientra nella categoria dei sistemi «già compromessi».

Privilegio di impersonificazione

Per comprendere meglio la questione, dobbiamo approfondire il funzionamento di SeImpersonatePrivilege.

In sostanza, SeImpersonatePrivilege è Windows che consente a un programma di «farsi passare per te» dopo che hai effettuato l'accesso, in modo da poter eseguire operazioni a tuo nome utilizzando il tuo livello di accesso.

È necessario perché molti servizi di sistema e applicazioni di tipo server (condivisione di file, server RPC, server COM, applicazioni web) devono eseguire operazioni per conto di un utente, come leggere i suoi file o applicare criteri di gruppo.

Se un malintenzionato ottiene questo privilegio, può creare un servizio o un server fasullo e attendere che un account con privilegi più elevati si colleghi ad esso. Quando quel servizio con privilegi elevati si connette, il malintenzionato può intercettare il suo token di sicurezza e impersonarlo, passando di fatto da un account con privilegi limitati al controllo completo del sistema su quella macchina.

Protezione

Un portavoce di Microsoft ha rilasciato la seguente dichiarazione:

«Questa tecnica richiede un computer già compromesso e non consente l'accesso non autenticato o remoto. Ogni aggiornamento rappresenta un compromesso tra la compatibilità esistente e il rischio per i clienti, e noi continuiamo a impegnarci per rafforzare costantemente la sicurezza dei nostri prodotti. Raccomandiamo ai clienti di seguire le migliori pratiche di sicurezza, tra cui la limitazione dei privilegi amministrativi e l'applicazione del principio del privilegio minimo.»

A nostro avviso, per risolvere adeguatamente il problema di PhantomRPC sarebbero necessari profondi cambiamenti all'architettura RPC, cosa difficile da realizzare nelle attuali Windows senza comprometterne la compatibilità. Data l'entità dei cambiamenti richiesti, è probabile che questo avvenga nelle versioni future.

Cosa puoi fare:

  • Poiché PhantomRPC fa parte di una catena più ampia, è comunque molto importante mantenere Windows .
  • Utilizza il tuo account amministratore con moderazione e solo per le attività che richiedono tale livello di autorizzazione.
  • Utilizza una soluzione anti-malware aggiornata e in tempo reale in grado di rilevare e bloccare attività sospette volte all'escalation dei privilegi.
  • Evita di disattivare o "rafforzare" i servizi alla cieca, poiché un servizio dannoso potrebbe subentrare al loro posto.

Per rispondere alla domanda del titolo: sembra una “funzionalità” che può essere sfruttata in molti modi; una funzionalità che ha ormai superato il suo modello di minaccia originario. I responsabili della sicurezza devono considerarla un rischio permanente, piuttosto che un singolo CVE.

Premio "Scelta della redazione" di CNET 2026

«Una delle migliori suite di sicurezza informatica al mondo.» 

Secondo CNET.Leggi la loro recensione

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Notizie
scrivere SMS

Una truffa basata su falsi CAPTCHA trasforma un semplice clic in una bolletta telefonica salata

Aprile 28, 2026

I truffatori utilizzano pagine CAPTCHA fasulle per accumulare costi per SMS internazionali sulle bollette telefoniche delle vittime e poi trattenersi una percentuale.

Notizie
Settimana della sicurezza

Una settimana nel mondo della sicurezza ( 20 aprile al 26 aprile)

Aprile 27, 2026

Elenco degli argomenti trattati nella settimana dal 20 al 26 aprile 2026

Notizie
Test del DNA

I dati medici di 500.000 volontari britannici messi in vendita su Alibaba

Aprile 24, 2026

Nonostante i rigidi controlli di accesso, i dati medici di mezzo milione di volontari della UK Biobank sono finiti in vendita su Alibaba.

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe