マイクロソフトはPhantomRPCへのパッチを適用しない：機能か、それともバグか？ |Malwarebytes

ある研究者が「PhantomRPC」と呼ばれる脆弱性を発見したが、マイクロソフトはこれを修正対象とする脆弱性とは見なしていない。

PhantomRPCは、Windows 間の通信の中核Windows （RPC）を利用しています。この脆弱性により、なりすまし権限を持つプロセスは、偽のRPCサーバーに接続する高権限のクライアントになりすますことで、SYSTEM権限へと権限を昇格させることが可能になります。

この研究者は、強制、ユーザー操作、バックグラウンドサービスなど、5つの攻撃経路を概説した詳細な技術報告書を発表した。根本的な問題はアーキテクチャにあるため、潜在的な攻撃経路は「事実上無限」であると警告した。

しかし、マイクロソフトはこの問題を「中程度」と分類し、報奨金の支払いを拒否し、CVE（共通脆弱性一覧）への登録も行わず、追跡せずに件を閉じた。同社の見解では、この手法はすでに侵害されたマシンを必要とし、認証不要のアクセスやリモートアクセスを可能にするものではないとしている。

専門家たちはマイクロソフトの見解に異議を唱えた。彼らの懸念は、マイクロソフトが、サポート対象のすべてのWindows に存在する、システム的なローカル特権昇格の手法を軽視しているという点にある。

問題点

この問題の根本的な原因は、Windows ランタイムが、高権限のクライアントが接続しようとしているサーバーが、意図した正当なエンドポイントであるかどうかを十分に検証していない点にあります。

正規のRPCサーバーに接続できない場合（例えば、サービスが停止している、設定ミスがある、インストールされていない、あるいは競合状態にあるなどの理由による）、SeImpersonatePrivilegeを持つ攻撃者は、同じインターフェースとエンドポイントを使用して「その隙間を埋める」偽のRPCサーバーを立ち上げる可能性があります。

SYSTEM または高い権限を持つクライアントが、サーバーがクライアントになりすますことを許可するなりすましレベルを使用してこの偽のサーバーに接続すると、攻撃者は RpcImpersonateClient そして直ちにそのユーザーの権限をSYSTEMに昇格させる。

マイクロソフトの観点から言えば、このような方法で不正なRPCサーバーを実行できる状態は、「すでに侵害されている」というカテゴリーに該当する。

SeImpersonatePrivilege

この問題をより深く理解するためには、SeImpersonatePrivilege の動作について詳しく調べる必要があります。

基本的に、「SeImpersonatePrivilege」とは、ユーザーがログインした後、プログラムが「ユーザーになりすます」ことを許可Windows であり、これによりプログラムはユーザーのアクセス権限を利用して、ユーザーに代わって操作を行うことができます。

多くのシステムサービスやサーバー型アプリケーション（ファイル共有、RPCサーバー、COMサーバー、Webアプリケーションなど）は、ユーザーのファイルを読み込んだり、グループポリシーを適用したりするなど、ユーザーに代わって操作を実行する必要があるため、これが必要となります。

攻撃者がこの権限を取得した場合、偽のサービスやサーバーを作成し、より権限の高いアカウントがそこに接続してくるのを待ち構えることができます。その高権限のサービスが接続すると、攻撃者はそのセキュリティトークンを奪い、そのアカウントになりすますことができます。これにより、攻撃者は低権限のアカウントから、そのマシンに対する完全なSYSTEM権限へと事実上昇格することになります。

保護

マイクロソフトの広報担当者は、次のように述べた：

「この手法は、すでに侵害されているマシンを必要とし、認証なしのアクセスやリモートアクセスを可能にするものではありません。あらゆる更新は、既存の互換性と顧客のリスクとのバランスを考慮したものであり、当社は引き続き製品のセキュリティ強化に取り組んでまいります。お客様には、管理者権限の制限や最小権限の原則の適用など、セキュリティのベストプラクティスに従うことをお勧めします。」

私たちの見解では、PhantomRPCの問題を適切に軽減するには、RPCアーキテクチャの抜本的な変更が必要となりますが、既存のWindows において互換性を損なうことなくこれを行うことは困難です。必要な変更の規模を考慮すると、これは将来のバージョンで実現される可能性のあるものかもしれません。

できること：