Windows Sob Ameaça: Invasores Podem Assumir Total Controle com Nova Vulnerabilidade Inédita

Por /

Pesquisadores da Kaspersky descobriram cinco métodos para explorar uma vulnerabilidade que afeta todas as versões do Windows e ainda não possui uma correção prevista pela Microsoft.

A Kaspersky revelou a existência de uma vulnerabilidade no mecanismo de comunicação interna do Windows que pode permitir a elevação de privilégios até o nível SYSTEM. Essa falha, que recebeu o nome de PhantomRPC, foi identificada pelo pesquisador Haidar Kabibo e afeta potencialmente todas as versões do sistema operacional sem uma solução disponível até o momento.

O mecanismo utilizado para a comunicação entre processos no Windows é chamado de RPC (Remote Procedure Call). Esse recurso possibilita que um processo solicite a execução de uma função por outro processo, mesmo que eles operem em contextos distintos. É dessa forma que muitos serviços internos do Windows funcionam.

Nossos vídeos em destaque

Além disso, o Windows possui um recurso denominado impersonation (impersonação), que permite a um serviço assumir temporariamente a identidade de outro processo para executar uma tarefa. Por exemplo, um serviço de impressão pode agir como o usuário que enviou o documento, permitindo o acesso a determinados arquivos.

No modelo RPC do Windows, um processo cliente envia requisições a um servidor identificado por um UUID e um endpoint. A falha PhantomRPC explora essa arquitetura, permitindo que um servidor falso utilize o mesmo endpoint de um serviço legítimo sem que o sistema valide a autenticidade da conexão. Imagem: Kaspersky.

Um dos principais problemas é que o Windows não valida se o servidor RPC com o qual um processo tenta se comunicar é autêntico. Um invasor pode criar um servidor RPC falso e se passar por um serviço legítimo, e o sistema operacional não impede essa conexão.

Leia Mais

Pacote Python com milhões de usuários foi infectado por falha no GitHub

Como o ataque funciona na prática

Para explorar o PhantomRPC, o atacante deve comprometer um serviço com privilégios intermediários, como aqueles que operam sob as contas Network Service ou Local Service. Essas contas possuem uma permissão chamada SeImpersonatePrivilege, que permite que um processo se passe por outro. Com esse acesso, o invasor pode ativar um servidor RPC falso que imita um serviço legítimo.

Quando um processo com maior privilégio tenta se comunicar com o serviço real, mas não consegue, a solicitação é redirecionada para o servidor falso. Esse servidor, então, assume a identidade do processo privilegiado e age em seu nome. O pesquisador identificou cinco métodos diferentes para executar esse ataque.

O serviço Group Policy Client opera com a conta NT AUTHORITY\SYSTEM, a mais alta de privilégios no Windows. É através dele que a chamada RPC é interceptada pelo servidor falso no principal vetor de exploração descrito pela Kaspersky. Imagem: Kaspersky.

Cinco maneiras de escalar privilégios

O primeiro método utiliza o serviço Group Policy, que opera com privilégios SYSTEM. Quando é executado o comando gpupdate /force, esse serviço tenta se comunicar com o TermService, que, por padrão, está inativo. O servidor falso intercepta a solicitação, permitindo que o atacante obtenha acesso SYSTEM.

O segundo método acontece sem qualquer interação do usuário. O serviço WDI, responsável pelo diagnóstico do sistema, realiza chamadas automáticas ao TermService a cada 5 a 15 minutos. O atacante aguarda a próxima chamada para assumir o contexto SYSTEM.

Leia Mais

Udemy sofre vazamento e expõe 1,4 milhão de usuários

O terceiro método envolve o Microsoft Edge. Ao ser iniciado, o navegador realiza uma chamada RPC ao TermService. Se um administrador abrir o Edge, o servidor falso intercepta essa solicitação e eleva os privilégios do atacante de Network Service para Administrator.

O TermService, o serviço responsável pela área de trabalho remota do Windows, permanece inativo por padrão. Essa condição é explorada pelo PhantomRPC para redirecionar chamadas RPC a um servidor falso. Imagem: Kaspersky.

Os dois últimos métodos se originam de uma conta Local Service. Um explora o serviço DHCP Client e aguarda que um administrador execute o comando ipconfig. O outro utiliza o executável w32tm.exe, que sincroniza o horário e tenta se conectar a um endpoint RPC inexistente no serviço legítimo. O atacante configura um servidor falso que expõe esse endpoint específico.

Microsoft não irá corrigir no momento

A Kaspersky informou sobre a vulnerabilidade ao Microsoft Security Response Center em setembro de 2025. Vinte dias depois, a Microsoft classificou o problema como de severidade moderada, uma vez que o ataque requer a permissão SeImpersonatePrivilege no processo do invasor.

Sem um CVE atribuído e sem previsão de correção, a Kaspersky publicou sua pesquisa após o término do período de embargo. O pesquisador recomenda monitorar exceções de RPC, manter serviços legítimos em execução e restringir a permissão SeImpersonatePrivilege apenas a processos que realmente necessitam dela.

Leia Mais

Vulnerabilidade no Linux permitia controle total a qualquer usuário

Acompanhe o TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se na nossa newsletter e canal do YouTube.

Rolar para cima