SchwachstellenHackerangriffe

PhantomRPC: Kritische Privileg-Eskalation in Windows ohne Patch

Von CyberDeutsch Redaktion
PhantomRPC: Kritische Privileg-Eskalation in Windows ohne Patch
Zusammenfassung

Sicherheitsforscherin Haidar Kabibo von Kaspersky hat eine kritische Schwachstelle in Microsofts Remote Procedure Call-Mechanismus entdeckt, die als PhantomRPC bekannt ist und potenziell alle Windows-Versionen betrifft. Die Sicherheitslücke ermöglicht es Angreifern, ihre Rechte auf System-Ebene zu erhöhen, indem sie einen gefälschten RPC-Server einrichten, der sich als legitimer Windows-Dienst ausgibt. Das Kernproblem liegt in einer architektonischen Schwäche: Windows überprüft die Legitimität von RPC-Servern nicht ausreichend und erlaubt Prozessen, RPC-Server mit denselben Endpunkten wie echte Dienste bereitzustellen. Kaspersky identifizierte mindestens fünf verschiedene Exploitierungspfade, darunter Angriffe über den Remote Desktop Service und den Windows Time Service. Obwohl Microsoft die Schwachstelle als moderat einstuft und keine sofortige Behebung fordert, stellt dies für deutsche Unternehmen und Behörden ein erhebliches Risiko dar – insbesondere für solche, die kritische Infrastrukturen betreiben oder sensitive Daten verwalten. Da keine Patches zur Verfügung stehen und Angreifer bereits einen kompromittierten privilegierten Dienst ausnutzen können, sollten Administratoren die betroffenen RPC-Dienste überwachen und Zugriffskontrollmechanismen verstärken.

Die Schwachstelle PhantomRPC nutzt eine Kombination aus legitimen Windows-Funktionen für einen lokalen Angriff aus. Das Remote Procedure Call System erlaubt Prozessen normalerweise, mit anderen Prozessen zu kommunizieren und deren Funktionen aufzurufen – unabhängig von deren Execution Context. Parallel dazu ermöglicht Windows es Diensten, Nutzer oder andere Dienste zu imitieren, um Aktionen in deren Sicherheitskontext auszuführen.

Der Angreifer nutzt zunächst eine bereits kompromittierte privilegierte Dienste mit eingeschränkten Rechten als Ausgangspunkt. Mit diesen Rechten erstellt er einen Fake-RPC-Server, der sich als legitimer Dienst ausgibt – etwa der Remote Desktop Service (TermService). Das Betriebssystem erkennt nicht, dass dieser Server nicht authentisch ist. Wenn dann ein hochprivilegierter Prozess versucht, mit TermService zu kommunizieren, leitet das System die RPC-Anfrage zum manipulierten Server um.

Kabibo entdeckte mindestens fünf verschiedene Exploitations-Pfade. Ein Szenario nutzt den Group Policy Service, der mit System-Rechten läuft: Eine erzwungene Richtlinien-Aktualisierung führt dazu, dass dieser Service TermService aufruft. Der Fake-Server fängt die Anfrage ab und imitiert dann den Security Context des Group Policy Service – die Eskalation zu System-Rechten ist erfolgt.

Ein anderer Angriffspfad wartet darauf, dass ein privilegierter Nutzer Microsoft Edge startet, das beim Launch automatisch RPC-Aufrufe zu TermService macht. Der Fake-Server fängt diese ab und eskaliert die Rechte des Angreifers von Network Service zu System.

Besonders kritisch: Der Diagnostic System Host Service (WDI) führt alle 5 bis 15 Minuten automatisch RPC-Aufrufe durch – ohne menschliche Interaktion. Ein Angreifer könnte dies ausnutzen, um passiv auf Eskalationsgelegenheiten zu warten.

Weitere Pfade exploitieren den DHCP Client oder Windows Time Service, die standardmäßig aktiviert sind. Letzterer ist besonders tückisch: Der Prozess w32tm.exe ruft einen Endpoint auf, der nicht vom legitimen Service exponiert wird. Ein Angreifer kann genau diesen Endpoint bereitstellen und wartet, bis ein Admin-Nutzer w32tm.exe ausführt.

Microsoft hat die Schwachstelle als moderat eingestuft, da sie Impersonation-Rechte voraussetzt. Allerdings zeigt Kabibos Forschung, dass die Angriffsfläche enorm ist – viele System-DLLs in Windows verlassen sich auf RPC. Deutsche Administratoren sollten ihre RPC-Konfiguration überprüfen und verdächtige Server-Registrierungen monitoren.

Ähnliche Artikel