Błędy, Aktualności

Microsoft nie zamierza wprowadzać poprawki dla PhantomRPC: funkcja czy błąd?

autor: Pieter Arntz | 29 kwietnia 2026 r.
PhantomRPC podnosi uprawnienia

Jeden z badaczy odkrył lukę o nazwie PhantomRPC, której firma Microsoft nie uznaje za zagrożenie wymagające wprowadzenia poprawki.

PhantomRPC wykorzystuje protok Windows Procedure Call (RPC), stanowiący podstawę komunikacji między Windows . Luka ta umożliwia procesowi posiadającemu uprawnienia do podszywania się pod inne podmioty eskalację uprawnień do poziomu SYSTEM poprzez podszywanie się pod klientów o wysokich uprawnieniach, którzy łączą się z fałszywym serwerem RPC.

Badacz przedstawił szczegółowy raport techniczny, w którym nakreślił pięć ścieżek ataku, w tym wymuszanie, interakcję z użytkownikiem lub usługi działające w tle. Ostrzegł, że potencjalne wektory ataku są „w praktyce nieograniczone”, ponieważ podstawowa przyczyna leży w samej architekturze systemu.

Firma Microsoft zaklasyfikowała jednak tę lukę jako „umiarkowaną”, odmówiła wypłaty nagrody, nie przyznała jej numeru CVE (miejsca na liście Common Vulnerabilities and Exposures) i zamknęła sprawę bez dalszego monitorowania. Firma stoi na stanowisku, że technika ta wymaga komputera, który został już przejęty, i nie umożliwia dostępu bez uwierzytelnienia ani zdalnego dostępu.

Eksperci nie zgodzili się z oceną firmy Microsoft. Obawiają się oni, że Microsoft bagatelizuje problem związany z techniką systemowego podwyższania uprawnień lokalnych, która występuje we wszystkich obsługiwanych Windows .

Problem

Głównym problemem jest to, że środowisko uruchomieniowe Windows nie sprawdza w wystarczającym stopniu, czy serwer, z którym łączy się klient posiadający wysokie uprawnienia, jest rzeczywiście zamierzonym, prawidłowym punktem końcowym.

Jeśli nie można nawiązać połączenia z prawidłowo działającym serwerem RPC (na przykład z powodu zatrzymania usługi, nieprawidłowej konfiguracji, braku instalacji lub sytuacji wyścigu), osoba atakująca posiadająca uprawnienie SeImpersonatePrivilege może uruchomić fałszywy serwer RPC, który „wypełni tę lukę”, korzystając z tego samego interfejsu i punktu końcowego.

Gdy użytkownik z uprawnieniami SYSTEM lub klient o wysokich uprawnieniach łączy się z tym fałszywym serwerem, korzystając z poziomu podszywania się, który pozwala serwerowi podszywać się pod klienta, osoba atakująca może wywołać RpcImpersonateClient i natychmiast podnieść ich uprawnienia do poziomu SYSTEM.

Z punktu widzenia firmy Microsoft możliwość uruchomienia w ten sposób nieautoryzowanego serwera RPC zalicza się do kategorii „systemów, których bezpieczeństwo zostało już naruszone”.

SeImpersonatePrivilege

Aby lepiej zrozumieć tę kwestię, musimy przyjrzeć się bliżej działaniu funkcji SeImpersonatePrivilege.

Zasadniczo Windows SeImpersonatePrivilege to Windows , które pozwala programowi „podszywać się pod użytkownika” po zalogowaniu się, dzięki czemu może on wykonywać czynności w imieniu użytkownika, korzystając z jego uprawnień.

Jest to konieczne, ponieważ wiele usług systemowych i aplikacji typu serwerowego (udostępnianie plików, serwery RPC, serwery COM, aplikacje internetowe) musi wykonywać czynności w imieniu użytkownika, takie jak odczytywanie jego plików lub stosowanie zasad grupy.

Jeśli osoba atakująca uzyska takie uprawnienia, może utworzyć fałszywą usługę lub serwer i czekać, aż nawiąże z nią połączenie konto o wyższych uprawnieniach. Gdy ta usługa o wysokich uprawnieniach nawiąże połączenie, osoba atakująca może przechwycić jej token bezpieczeństwa i podszyć się pod nią, skutecznie przechodząc od konta o niższych uprawnieniach do pełnej kontroli SYSTEM na tym komputerze.

Ochrona

Rzecznik firmy Microsoft wydał następujące oświadczenie:

„Technika ta wymaga komputera, który został już zainfekowany, i nie umożliwia dostępu bez uwierzytelnienia ani zdalnego dostępu. Każda aktualizacja stanowi kompromis między zachowaniem zgodności z istniejącymi rozwiązaniami a ryzykiem dla klientów, a my nieustannie dążymy do wzmacniania zabezpieczeń naszych produktów. Zalecamy klientom stosowanie się do najlepszych praktyk w zakresie bezpieczeństwa, w tym ograniczanie uprawnień administracyjnych oraz stosowanie zasady minimalnych uprawnień”.

Naszym zdaniem skuteczne wyeliminowanie luki PhantomRPC wymagałoby gruntownych zmian w architekturze RPC, co w istniejących Windows jest trudne do zrealizowania bez naruszenia zgodności. Biorąc pod uwagę skalę niezbędnych zmian, być może zobaczymy to w przyszłych wersjach.

Co możesz zrobić:

  • Ponieważ PhantomRPC stanowi element większego łańcucha, nadal bardzo ważne jest, aby Windows był Windows .
  • Korzystaj z konta administratora z umiarem i tylko do zadań, które wymagają takich uprawnień.
  • Należy korzystać z aktualnego oprogramowania antywirusowego działającego w czasie rzeczywistym, które potrafi wykrywać i blokować podejrzane działania mające na celu podwyższenie uprawnień.
  • Należy unikać ślepego wyłączania lub „zabezpieczania” usług, ponieważ na ich miejsce może wkroczyć złośliwa usługa.

Odpowiadając na pytanie zawarte w tytule: wygląda to na „funkcję”, którą można nadużywać na wiele sposobów; taką, która przestała już odpowiadać pierwotnemu modelowi zagrożeń. Specjaliści ds. bezpieczeństwa muszą traktować je jako stałe zagrożenia, a nie jako jednorazowe luki CVE.

Nagroda „Wybór redakcji” serwisu CNET 2026

„Jeden z najlepszych pakietów zabezpieczeń cybernetycznych na świecie”. 

Według serwisu CNET.Przeczytaj ich recenzję

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

Aktualności
pisanie SMS-ów

Oszustwo z fałszywym CAPTCHA sprawia, że jedno szybkie kliknięcie zamienia się w wysoki rachunek telefoniczny

Kwiecień 28, 2026

Oszuści wykorzystują fałszywe strony z testami CAPTCHA, aby naliczać ofiarom opłaty za międzynarodowe wiadomości SMS, a następnie pobierać część tych kwot.

Aktualności
tydzień w bezpieczeństwie

Tydzień w świecie bezpieczeństwa (od 20 kwietnia do 26 kwietnia)

Kwiecień 27, 2026

Lista tematów, które poruszyliśmy w tygodniu od 20 do 26 kwietnia 2026 roku

Aktualności
Test DNA

Dane medyczne 500 000 brytyjskich ochotników wystawiono na sprzedaż w serwisie Alibaba

Kwiecień 24, 2026

Pomimo rygorystycznych środków kontroli dostępu dane medyczne pół miliona ochotników z UK Biobank trafiły do sprzedaży na platformie Alibaba.

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa