SecBoard
Zurück zur Übersicht
Red-TeamerManagerAD & Identity

PhantomRPC: A new privilege escalation technique in Windows RPC

Securelist·
Originalartikel lesen bei Securelist

Ein neues Privilegiensteigerungsverfahren namens PhantomRPC wurde in der Windows Remote Procedure Call (RPC) Architektur identifiziert, das es Prozessen mit Verwandlungsrechten ermöglicht, ihre Berechtigungen auf SYSTEM-Ebene zu erhöhen. Dieser Sicherheitsfehler betrifft möglicherweise alle Windows-Versionen und basiert auf einer architektonischen Schwäche, die unzählige Angriffspfade erlaubt. Da Microsoft bisher keine Patch zur Verfügung gestellt hat, sollten Administratoren nach Möglichkeit alternative防御措施和检测策略,以帮助缓解此类攻击。

Kurzfassung

PhantomRPC ist eine neue Privilegiensteigerungstechnik in der Windows-RPC-Architektur. Prozesse mit Impersonation-Rechten können dadurch möglicherweise Berechtigungen auf SYSTEM-Ebene erhöhen. Der Artikel sagt, dass möglicherweise alle Windows-Versionen betroffen sind und Microsoft bisher keinen Patch bereitgestellt hat.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Möglicherweise alle Windows-Versionen; konkret betroffene Versionen werden nicht angegeben.

Warum relevant

Lokale Privilegienerweiterung auf SYSTEM kann Angreifern nach initialem Zugriff weitreichende Kontrolle über Windows-Systeme geben.

Realistisches Worst Case

Ein Angreifer mit geeignetem Prozesskontext erhöht Berechtigungen auf SYSTEM und übernimmt ein Windows-System.

Handlungsempfehlung

Microsoft-Hinweise beobachten, Impersonation-Rechte minimieren und Detection für ungewöhnliche SYSTEM-Rechteausweitung einsetzen.

Defensive Validierung / Purple-Team Checks
  • Defensiver Check 1: Identifizieren, welche Dienste oder Prozesse Impersonation-Rechte besitzen und ob diese notwendig sind.
  • Defensiver Check 2: Endpoint-Logs auf ungewöhnliche Prozessketten mit plötzlicher SYSTEM-Rechteausweitung prüfen.
  • Defensiver Check 3: Kompensierende Kontrollen dokumentieren, solange kein Microsoft-Patch verfügbar ist.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Privilege EscalationT1068 Exploitation for Privilege EscalationHighDer Artikel beschreibt eine Privilegiensteigerung auf SYSTEM-Ebene über Windows RPC.
Privilege EscalationT1134 Access Token ManipulationMediumDer Artikel erwähnt Prozesse mit Impersonation-Rechten.
Offene Punkte
  • Konkrete CVE-ID wird nicht im Artikel angegeben.
  • Ein Patch von Microsoft ist laut Artikel bisher nicht verfügbar.
  • Konkrete Erkennungsregeln, IOCs oder Exploitdetails werden nicht im Artikel angegeben.

MITRE ATT&CK Kill Chain (10 Techniken)

Reconnaissance
T1592.002

Software

Resource Development
T1583.004

Server

T1584.004

Server

T1587.004

Exploits

T1588.005

Exploits

T1588.006

Vulnerabilities

Execution
T1059.001

PowerShell

T1059.006

Python

Persistence
T1543.003

Windows Service

Defense Evasion
T1656

Impersonation

Themen
Vulnerability reportsMicrosoft WindowsVulnerabilitiesMS-RPCPrivilege escalationPhantomRPCVulnerabilities and exploits
Vollständigen Artikel lesen bei Securelist

Verwandte Artikel

Webinar: Fixing the gaps in network incident response

BleepingComputer·vor 34 Minuten

Signal adds security warnings for social engineering, phishing attacks

BleepingComputer·vor 39 Minuten

Microsoft releases Windows 10 KB5087544 extended security update

BleepingComputer·vor etwa 1 Stunde

Fortinet warns of critical RCE flaws in FortiSandbox and FortiAuthenticator

BleepingComputer·vor etwa 2 Stunden

Windows 11 KB5089549 & KB5087420 cumulative updates released

BleepingComputer·vor etwa 2 Stunden