O nouă vulnerabilitate RPC în Windows permite extinderea privilegiilor

PhantomRPC, o vulnerabilitate arhitecturală recent identificată în Windows Remote Procedure Call (RPC), permite escaladarea privilegiilor locale până la nivelul SYSTEM, putând afecta toate versiunile de Windows.

PhantomRPC nu este o eroare clasică de corupere a memoriei sau o eroare logică într-o singură componentă. În schimb, aceasta exploatează o vulnerabilitate arhitecturală în modul în care runtime-ul Windows RPC (rpcrt4.dll) gestionează conexiunile la serverele RPC indisponibile.

Atunci când un proces cu privilegii ridicate încearcă să efectueze un apel RPC către un server care este offline sau dezactivat, runtime-ul RPC nu verifică dacă serverul care răspunde este legitim.

Asta înseamnă că un atacator care controlează un proces cu privilegii reduse, cum ar fi unul care rulează sub NT AUTHORITY\NETWORK SERVICE, poate implementa un server RPC rău intenționat care imită un endpoint legitim și poate intercepta aceste apeluri.

Principala metodă de exploatare se bazează pe API-ul RpcImpersonateClient. Atunci când un utilizator privilegiat se conectează la serverul fals cu un nivel ridicat de impersonare, serverul atacatorului apelează acest API pentru a prelua contextul de securitate al utilizatorului, trecând de la un cont de serviciu cu privilegii reduse direct la nivelul SYSTEM sau Administrator.

Microsoft a clasificat vulnerabilitatea ca având un nivel de severitate moderat, pe motiv că atacul necesită privilegiul SeImpersonatePrivilege, un privilegiu deținut deja în mod implicit de conturile Network Service și Local Service.

Sursă: https://cybersecuritynews.com/new-windows-rpc-vulnerability/