Erros, Notícias

A Microsoft não vai corrigir o PhantomRPC: é uma funcionalidade ou um bug?

por Pieter Arntz | 29 de abril de 2026
O PhantomRPC eleva os privilégios

Um investigador descobriu uma falha denominada PhantomRPC que a Microsoft não considera uma vulnerabilidade para a qual pretenda lançar uma correção.

O PhantomRPC envolve a Chamada de Procedimento Windows (RPC) Windows , o núcleo da comunicação entre Windows . Esta vulnerabilidade permite que um processo com direitos de suplantar identidade eleve os seus privilégios para o nível SYSTEM, suplantando a identidade de clientes com privilégios elevados que se ligam a um servidor RPC falso.

O investigador apresentou um relatório técnico detalhado que descreve cinco vias de exploração, incluindo coação, interação do utilizador ou serviços em segundo plano. Alertou que os vetores potenciais são «efetivamente ilimitados», uma vez que o problema de fundo é de natureza arquitetónica.

A Microsoft, no entanto, classificou a falha como «moderada», recusou a recompensa, não atribuiu um CVE (um número na lista de Vulnerabilidades e Exposições Comuns) e encerrou o caso sem registo. A sua posição é que a técnica requer um computador já comprometido e não permite o acesso não autenticado ou remoto.

Os especialistas discordaram da avaliação da Microsoft. A sua preocupação é que a Microsoft esteja a subestimar uma técnica sistémica de escalada de privilégios locais que existe em todas Windows suportadas.

A questão

No cerne desta questão está o facto de o ambiente de execução Windows não verificar de forma adequada se o servidor ao qual um cliente com privilégios elevados se liga é, de facto, o ponto final legítimo pretendido.

Se um servidor RPC legítimo não estiver acessível (por exemplo, porque o serviço foi interrompido, estava mal configurado, não estava instalado ou devido a uma condição de corrida), um atacante com o privilégio SeImpersonatePrivilege pode criar um servidor RPC falso que «preencha a lacuna», utilizando a mesma interface e o mesmo ponto de extremidade.

Quando um utilizador SYSTEM ou com privilégios elevados se liga a este servidor falso, utilizando um nível de representação que permite ao servidor assumir a identidade do utilizador, o atacante pode chamar RpcImpersonateClient e elevar imediatamente os seus privilégios para o nível SYSTEM.

Do ponto de vista da Microsoft, a capacidade de executar um servidor RPC não autorizado desta forma enquadra-se na categoria de «já comprometido».

Privilégio de suplantar identidade

Para compreender melhor a questão, precisamos de analisar o que o SeImpersonatePrivilege faz.

Basicamente, a Windows SeImpersonatePrivilege Windows permite que um programa «se faça passar por si» depois de ter iniciado sessão, para que possa realizar ações em seu nome utilizando o seu nível de acesso.

É necessário porque muitos serviços do sistema e aplicações do tipo servidor (partilha de ficheiros, servidores RPC, servidores COM, aplicações web) têm de realizar ações em nome de um utilizador, como ler os seus ficheiros ou aplicar políticas de grupo.

Se um invasor obtiver esse privilégio, poderá criar um serviço ou servidor falso e aguardar que uma conta com mais privilégios se comunique com ele. Quando esse serviço com privilégios elevados se ligar, o invasor poderá obter o seu token de segurança e fazer-se passar por ele, passando efetivamente de uma conta com privilégios reduzidos para o controlo total do sistema nessa máquina.

Proteção

Um porta-voz da Microsoft emitiu a seguinte declaração:

«Esta técnica requer um computador já comprometido e não permite o acesso não autenticado ou remoto. Qualquer atualização representa um equilíbrio entre a compatibilidade existente e o risco para o cliente, e continuamos empenhados em reforçar continuamente a segurança dos nossos produtos. Recomendamos que os clientes sigam as melhores práticas de segurança, incluindo a limitação dos privilégios administrativos e a aplicação do princípio do privilégio mínimo.»

Na nossa opinião, mitigar o PhantomRPC de forma adequada exigiria alterações profundas na arquitetura RPC, o que é difícil de concretizar nas Windows atuais Windows sem comprometer a compatibilidade. Talvez seja algo que venhamos a ver em versões futuras, dada a magnitude das alterações necessárias.

O que pode fazer:

  • Uma vez que o PhantomRPC faz parte de uma cadeia mais ampla, continua a ser muito importante manter Windows .
  • Utilize a sua conta de administrador com moderação e apenas para as tarefas que exijam esse tipo de privilégio.
  • Utilize uma solução antimalware atualizada e em tempo real, capaz de detetar e bloquear atividades suspeitas de escalada de privilégios.
  • Evite desativar ou «fortalecer» serviços de forma indiscriminada, uma vez que um serviço malicioso poderá ocupar o seu lugar.

Para responder à pergunta do título: parece ser uma «funcionalidade» que pode ser alvo de abusos de várias formas; uma funcionalidade que já ultrapassou o seu modelo de ameaça original. Os responsáveis pela segurança têm de tratá-las como riscos contínuos, em vez de CVEs pontuais.

Prémio «Escolha dos Editores» da CNET 2026

«Uma das melhores suites de cibersegurança do mundo.» 

Segundo a CNET.Leia a análise deles

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

Notícias
escrever SMS

Um esquema fraudulento com CAPTCHAs falsos transforma um simples clique numa conta telefónica exorbitante

abril 28, 2026

Os burlões estão a utilizar páginas CAPTCHA falsas para acumular custos de SMS internacionais nas contas telefónicas das vítimas e, em seguida, ficar com uma parte dos lucros.

Notícias
semana da segurança

Uma semana no mundo da segurança ( 20 de abril – 26 de abril)

abril 27, 2026

Uma lista dos temas que abordámos na semana de 20 a 26 de abril de 2026

Notícias
Teste de ADN

Dados médicos de 500 000 voluntários do Reino Unido colocados à venda no Alibaba

abril 24, 2026

Apesar dos rigorosos controlos de acesso, os dados médicos de meio milhão de voluntários do UK Biobank acabaram por ser colocados à venda no Alibaba.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes