Kỹ thuật PhantomRPC: Lỗ hổng kiến trúc Windows cho phép nâng đặc quyền chưa được vá

Một lỗ hổng trong cơ chế Remote Procedure Call (RPC) của Windows cho phép kẻ tấn công nâng đặc quyền lên mức System, theo báo cáo mới đây từ Kaspersky.

Vấn đề nâng đặc quyền cục bộ này có khả năng ảnh hưởng đến tất cả các phiên bản Windows. Nó khai thác một cơ chế hợp pháp của Windows, nơi các tiến trình được phép giả mạo các tiến trình khác để thực hiện các hành động cụ thể.

Windows 10

Nguyên nhân gốc rễ

Nguyên nhân của lỗi bảo mật này, được nhà nghiên cứu Haidar Kabibo từ Kaspersky đặt tên là PhantomRPC, là một điểm yếu kiến trúc. Điểm yếu này có khả năng biến bất kỳ quy trình nào phụ thuộc vào RPC thành một đường dẫn tiềm năng để nâng đặc quyền.

Trong Windows, RPC là cơ chế cho phép các tiến trình giao tiếp với nhau và gọi các hàm được triển khai trong các tiến trình khác, bất kể ngữ cảnh thực thi của chúng. Nó sử dụng mô hình khách hàng – máy chủ (client–server), trong đó tiến trình gọi là khách hàng.

Windows cũng cho phép các dịch vụ giả mạo người dùng hoặc các dịch vụ khác để hoạt động tạm thời trong ngữ cảnh bảo mật của họ. Chức năng này được kiểm soát thông qua các mức độ giả mạo (impersonation levels) từ Anonymous đến Impersonate và Delegate.

Để giả mạo một khách hàng, dịch vụ cần một đặc quyền cụ thể được cấp mặc định cho một số dịch vụ nhất định, chẳng hạn như những dịch vụ chạy dưới tài khoản Local Service và Network Service.

Security

Tuy nhiên, thời gian chạy RPC không xác minh tính hợp pháp của các máy chủ RPC. Các tiến trình được phép triển khai các máy chủ RPC lộ ra các điểm cuối (endpoints) giống như các dịch vụ hợp pháp.

Cách khai thác PhantomRPC

Để khai thác PhantomRPC, Kabibo cho rằng kẻ tấn công cần xâm phạm một dịch vụ có đặc quyền, triển khai một máy chủ RPC giả, lắng nghe các yêu cầu cụ thể, sau đó giả mạo dịch vụ mục tiêu để nâng đặc quyền.

Trong một kịch bản tấn công, kẻ tấn công có thể xâm phạm một dịch vụ chạy dưới tài khoản Network Service và triển khai một máy chủ RPC giả với UUID giao diện RPC và tên điểm cuối lộ ra giống như TermService (dịch vụ Máy tính từ xa mặc định).

Sau đó, kẻ tấn công có thể ép buộc cập nhật chính sách để khiến dịch vụ Group Policy (chạy với đặc quyền System) thực hiện cuộc gọi RPC đến TermService. Vì TermService bị tắt theo mặc định, yêu cầu sẽ thất bại. Tuy nhiên, máy chủ RPC giả của kẻ tấn công cũng nhận được yêu cầu RPC này và có thể giả mạo ngữ cảnh bảo mật của dịch vụ Group Policy để nâng đặc quyền lên System.

Sau khi xác định các khách hàng RPC khác cố gắng giao tiếp với các máy chủ không khả dụng, Kabibo đã phát hiện thêm bốn đường dẫn khai thác PhantomRPC khác. Ông lưu ý rằng điểm yếu này dẫn đến bề mặt tấn công lớn, vì nhiều tệp DLL hệ thống trong Windows phụ thuộc vào RPC.

"Các ứng dụng gọi các API có vẻ vô hại có thể vô tình kích hoạt các tương tác RPC có đặc quyền. Trong một số điều kiện nhất định, các tương tác này có thể bị lạm dụng để đạt được nâng đặc quyền cục bộ mà người dùng không biết", nhà nghiên cứu cho biết.

Các kịch bản tấn công khác

Trong một kịch bản khác, máy chủ RPC giả của kẻ tấn công sẽ đợi người dùng có đặc quyền cao khởi chạy Microsoft Edge. Trình duyệt này sẽ thực hiện cuộc gọi RPC đến TermService khi khởi động. Máy chủ của kẻ tấn công chặn yêu cầu và nâng đặc quyền từ Network Service lên System.

Một đường dẫn tấn công khác lắng nghe các cuộc gọi RPC nền mà Dịch vụ Máy chẩn đoán Hệ thống (WDI) định kỳ thực hiện đến TermService bằng mức độ giả mạo cao. Sử dụng cùng một thiết lập, kẻ tấn công nâng đặc quyền mà không cần sự tương tác của người dùng, vì WDI tự động thực hiện các cuộc gọi này mỗi 5 đến 15 phút.

Kẻ tấn công cũng có thể lạm dụng tài khoản Local Service để nâng đặc quyền. Ví dụ, dịch vụ Máy khách DHCP được bật theo mặc định và lộ ra máy chủ RPC với nhiều giao diện và điểm cuối. Máy chủ RPC giả của kẻ tấn công sẽ bắt chước dịch vụ RPC hợp pháp của DHCP Client và lắng nghe các cuộc gọi RPC mà ipconfig thực hiện khi được quản trị viên chạy.

Phản hồi của Microsoft

Kaspersky đã báo cáo vấn đề này vào tháng 9 năm 2025. Microsoft đã phân loại nó là mức độ nghiêm trọng trung bình do yêu cầu đặc quyền giả mạo và cho rằng nó không cần khắc phục ngay lập tức.

Do bản chất của vấn đề là một điểm yếu kiến trúc trong thiết kế của Windows thay vì một lỗi mã hóa đơn lẻ, hiện tại chưa có bản vá (patch) cụ thể được phát hành để giải quyết triệt để kỹ thuật PhantomRPC này.