Windows リモートプロシージャコール (RPC) メカニズムの脆弱性により、攻撃者はシステム権限に昇格できるとKasperskyが報告しています。
ローカル権限昇格の問題は、すべてのWindowsバージョンに影響を与える可能性があり、プロセスが特定のアクションを実行するために他のプロセスになりすましすることが許可されている別の正当なWindowsメカニズムを悪用しています。
Kasperskyの研究者Haidar Kabiboが命名したセキュリティ欠陥の根本原因であるPhantomRPCは、アーキテクチャの弱点であり、RPCに依存するあらゆるプロセスを可能性のある昇格パスに変える可能性があります。
Windowsでは、RPCはプロセスが互いに通信し、実行コンテキストに関わらず他のプロセスで実装されている関数を呼び出すことを可能にするメカニズムです。呼び出し元プロセスがクライアントであるクライアント-サーバーモデルを使用します。
Windowsはまた、サービスがユーザーまたは他のサービスになりすまして、一時的にそれらのセキュリティコンテキストで動作することを許可し、Anonymousからimpersonateおよびdelegateまでの権限レベルを通じてこの機能を制御します。
クライアントになりすますには、サービスは、Local ServiceおよびNetwork Serviceアカウントで実行されているサービスなど、特定のサービスにデフォルトで付与される特定の権限が必要です。
さらに、RPCランタイムはRPCサーバーの正当性を検証せず、プロセスは正当なサービスと同じエンドポイントを公開するRPCサーバーをデプロイすることができます。
Kabiboによると、PhantomRPCを悪用するには、攻撃者は権限を持つサービスを侵害し、フェイクRPCサーバーをデプロイし、特定のリクエストをリッスンしてから、ターゲットサービスになりすまして権限を昇格させる必要があります。
Network Serviceアカウントサービスの悪用
攻撃者はNetwork Serviceアカウントで実行されているサービスを侵害し、RPCインターフェースUUIDとデフォルトのリモートデスクトップサービスであるTermServiceとして公開されたエンドポイント名を持つフェイクRPCサーバーをデプロイできます。
攻撃者はポリシー更新を強制して、システム権限で実行されるグループポリシーサービスにTermServiceへのRPC呼び出しを実行させることができます。TermServiceはデフォルトで無効になっているため、リクエストは失敗します。
ただし、RPC要求も受け取る攻撃者のRPCサーバーは、グループポリシーサービスのセキュリティコンテキストになりすまして、権限をシステムに昇格させることができます。
利用できないサーバーと通信しようとしている他のRPCクライアントを特定した後、Kabiboは4つの他のPhantomRPC悪用パスを発見し、この弱点は大きな攻撃サーフェスにつながることに気づきました。これは、Windowsの多くのシステムDLLがRPCに依存しているためです。
「一見無害なAPIを呼び出すアプリケーションは、無意識のうちに権限を持つRPC相互作用を起動する可能性があります。特定の条件下では、これらの相互作用はユーザーの知識なしにローカル権限昇格を達成するために悪用される可能性があります」と研究者は述べています。
別のシナリオでは、攻撃者のフェイクRPCサーバーは、高い権限を持つユーザーがMicrosoft Edgeを起動するまで待ち、起動時にTermServiceへのRPC呼び出しを行います。攻撃者のサーバーはリクエストをインターセプトし、Network ServiceからSystemへの権限を昇格させます。
別の攻撃パスは、診断システムホストサービス(WDI)が高いなりすましレベルを使用してTermServiceに定期的に行うバックグラウンドRPC呼び出しをリッスンします。同じ設定を使用して、攻撃者はユーザーの相互作用なしに権限を昇格させます。WDIは5~15分ごとに自動的に呼び出しを行うためです。
Local Serviceアカウントサービスの悪用
セキュリティ研究者はまた、Local Serviceアカウントを悪用して権限を昇格させる2つの攻撃パスを発見しました。例えば、DHCPクライアントサービスは、デフォルトで有効になっており、複数のインターフェイスとエンドポイントを持つRPCサーバーを公開しています。
攻撃者のフェイクRPCサーバーはDHCPクライアントによって公開された正当なRPCサービスを模倣し、管理者によって実行されたときにipconfigがそれに対して行うRPC呼び出しをリッスンします。シナリオはDHCPクライアントサービスが無効になっていることを前提としており、フェイクサーバーがクライアントになりすましすることを可能にします。
WindowsタイムサービスもLocal Serviceアカウントでデフォルトで有効になっており、2つのエンドポイントを持つRPCサーバーを公開し、実行可能ファイルw32tm.exeはRPCを使用してそれと相互作用します。
w32tm.exeが正当なサービスによって公開されていない存在しない名前付きパイプを呼び出すため、攻撃者は它を公開するRPCサーバーをデプロイしてから、RPC要求が悪意のあるサーバーにリダイレクトされるように、高い権限を持つユーザーが実行可能ファイルを実行するまで待つことができます。
「このシナリオでは、正当なWindowsタイムサービスを無効にする必要がないことに注意することが重要です。実行可能ファイルは存在しないエンドポイントへの接続を試みるため、攻撃者が悪意のあるRPCサーバーを通じてそのエンドポイントを公開することで十分です」と研究者は述べています。
Kasperskyは2025年9月にこの問題を報告しました。Microsoftは必要ななりすまし権限のため中程度の重大度に分類し、すぐに修復する必要がないと述べました。SecurityWeekはMicrosoftに声明を求めてメールを送信し、会社が応答した場合はこの記事を更新します。
翻訳元: https://www.securityweek.com/no-patch-for-new-phantomrpc-privilege-escalation-technique-in-windows/
