SchwachstellenHackerangriffeDatenschutz

PhantomRPC: Kritische Privilege-Escalation-Lücke in Windows bleibt ungepatchet

Von CyberDeutsch Redaktion
PhantomRPC: Kritische Privilege-Escalation-Lücke in Windows bleibt ungepatchet
Zusammenfassung

Eine kritische, bislang ungepatcht gebliebene Schwachstelle namens „PhantomRPC" gefährdet Windows-Systeme weltweit durch eine Designschwäche in der Remote Procedure Call (RPC)-Architektur von Microsoft. Die von Kaspersky-Sicherheitsexperte Haidar Kabibo entdeckte Lücke ermöglicht Angreifern mit eingeschränktem lokalen Zugriff, ihre Privilegien bis zur SYSTEM- oder Administrator-Ebene zu eskalieren. Das Kernproblem liegt darin, dass Windows RPC-Server mit den gleichen Endpunkten von legitimen Diensten registrieren lässt, wenn diese nicht aktiv sind. Dadurch können Angreifer boshafte RPC-Server erstellen, die echte Windows-Dienste imitieren und hochprivilegierte Prozesse abfangen. Obwohl Kaspersky Microsoft bereits im September 2024 benachrichtigte, klassifizierte der Konzern die Sicherheitslücke als „moderat" und verzichtete auf einen Patch sowie eine CVE-Nummer. Für deutsche Unternehmen, Behörden und Organisationen stellt dies ein erhebliches Risiko dar, da Windows-Systeme flächendeckend eingesetzt werden. Ohne Sicherheitsupdate müssen Administratoren eigenverantwortlich Gegenmaßnahmen implementieren. Die Schwachstelle betrifft mindestens Windows Server 2022 und 2025, dürfte aber auch auf anderen Windows-Versionen ausnutzbar sein.

Die PhantomRPC-Schwachstelle offenbart ein grundsätzliches Designproblem in der RPC-Architektur von Windows. Das RPC-System dient der Kommunikation zwischen Prozessen, ermöglicht es aber potenziell, dass ein Angreifer einen bösartigen RPC-Server registriert, der legitime Windows-Dienste imitiert – vorausgesetzt, diese Dienste laufen nicht gerade.

Kabibo beschreibt den Angriffsvektor präzise: Ein Prozess mit eingeschränkten Rechten, der das „SeImpersonatePrivilege” besitzt, kann einen gefälschten RPC-Server bereitstellen. Wenn dann höherberechtigte Prozesse versuchen, sich mit diesem Server zu verbinden, kann der Angreifer diese Verbindungen abfangen und die Identität dieser privilegierten Prozesse annehmen. Dadurch ist ein Sprung zu SYSTEM- oder Administrator-Rechten möglich.

Besonders kritisch ist, dass Kaspersky fünf verschiedene Exploit-Pfade identifiziert hat, wie Angreifer diese Schwachstelle ausnutzen können. Die Proof-of-Concept-Exploits wurden auf Windows Server 2022 und Windows Server 2025 erfolgreich getestet, dürften aber auch auf älteren Versionen funktionieren.

Microsofts Reaktion wirft Fragen auf. Die Redmonder Entwickler begründeten ihre Weigerung, die Lücke zu patchen, damit, dass das SeImpersonatePrivilege normalerweise Voraussetzung für einen erfolgreichen Angriff sei. Diese Argumentation übersieht jedoch, dass viele Windows-Dienste – etwa Network Service oder Local Service – genau dieses Privileg standardmäßig besitzen. Ist ein Angreifer erst in solch einen Dienst eingedrungen, öffnet sich das Tor zu Vollzugriff.

Für deutsche Unternehmen empfiehlt Kaspersky zwei Abwehrmaßnahmen. Erstens sollten Organisationen Event Tracing for Windows (ETW) nutzen, um RPC-Verbindungsversuche zu nicht verfügbaren Servern zu überwachen. Dies hilft bei der Früherkennung von Angriffsversuchen. Zweitens ist es essentiell, das SeImpersonatePrivilege nur denjenigen Prozessen zu gewähren, die es wirklich benötigen – nicht pauschal an Drittanbieter-Software zu verteilen.

Bis Microsoft das grundsätzliche RPC-Design überarbeitet, müssen Defender auf Eigeninitiative setzen. Das BSI wird diese Entwicklung genau beobachten und kann gegebenenfalls Warnungen herausgeben. Für Unternehmen bedeutet dies erhöhte Vigilanz und verstärkte Monitoring-Maßnahmen – ein zusätzlicher Aufwand, den eine zeitnahe Microsoft-Patch hätte vermeiden können.

Ähnliche Artikel