TokyoBlackHatNews

malwarebytes.com 5分で読了

Microsoftはphantom RPCをパッチしない:機能か、バグか?

研究者がPhantomRPCと呼ばれる脆弱性を発見しました。Microsoftはこれを脆弱性と見なしておらず、パッチを計画していません

PhantomRPCはWindows Remote Procedure Call (RPC)に関連しており、これはWindowsプロセス間通信のコアです。この脆弱性により、偽装権を持つプロセスは、偽のRPCサーバーに接続する高い権限を持つクライアントを偽装することで、 SYSTEM に権限を昇格させることができます。

研究者は詳細な技術レポートを提示し、強制、ユーザーインタラクション、またはバックグラウンドサービスを含む5つの悪用経路について説明しました。根本的な問題はアーキテクチャにあるため、潜在的なベクトルは「事実上無制限」であると警告しています。

しかし、Microsoftはこの問題を「中程度」と分類し、バウンティを拒否し、CVE(共通脆弱性・露出リストのスポットの割り当てを拒否し、トラッキングなしでケースを閉じました。同社の立場は、この技術は既に侵害されたマシンを必要とし、認証なしまたはリモートアクセスを提供しないということです。

専門家はMicrosoftの評価に異議を唱えました。彼らの懸念は、Microsoftが、サポートされているすべてのWindowsバージョンに存在するシステム的なローカル権限昇格技術を過小評価しているということです。

問題

この問題の中核は、Windows RPC実行時が、高い権限を持つクライアントが接続するサーバーが 目的の 正規エンドポイントであることを十分に検証しないということです。

正規のRPCサーバーに到達できない場合(たとえば、サービスが停止した、設定が誤っていた、インストールされていない、または競合状態により)、SeImpersonatePrivilegeを持つ攻撃者は、同じインターフェイスとエンドポイントを使用して「ギャップを埋める」偽のRPCサーバーをスピンアップできます。

SYSTEMまたは高い権限を持つクライアントがこの偽のサーバーに接続すると、サーバーがクライアントを偽装できる偽装レベルを使用して、攻撃者は RpcImpersonateClient を呼び出し、権限をすぐにSYSTEMに昇格させることができます。

Microsoftの観点から、このようにして不正なRPCサーバーを実行する能力は、「既に侵害された」というカテゴリに該当します。

SeImpersonatePrivilege

この問題をよりよく理解するために、SeImpersonatePrivilegeが何をするのかを掘り下げる必要があります。

基本的に、SeImpersonatePrivilegeは、既にログインした後、プログラムが「あなたのふりをする」ことができるWindowsパーミッションで、あなたのアクセスレベルを使用してあなたの代わりに物事を行うことができます。

多くのシステムサービスとサーバータイプのアプリ(ファイル共有、RPC サーバー、COM サーバー、Web アプリ)は、ユーザーの代わりにアクション(ファイルの読み取り、グループポリシーの適用など)を実行する必要があるため、これが必要です。

攻撃者がこの権限を取得した場合、偽のサービスまたはサーバーを作成し、より強力なアカウントがそれについて話すのを待つことができます。その高い権限を持つサービスが接続すると、攻撃者はそのセキュリティトークンをつかみ、それを偽装し、低い権限を持つアカウントからそのマシン上の完全なSYSTEM制御に効果的にアップグレードすることができます。

保護

Microsoftのスポークスマンは以下の声明を提供しました:

「この技術は既に侵害されたマシンを必要とし、認証なしまたはリモートアクセスを付与しません。いかなるアップデートも既存の互換性と顧客のリスクのバランスであり、我々は製品を継続的に強化することにコミットしています。管理者権限を制限し、最小権限の原則を適用するなど、セキュリティのベストプラクティスに従うことをお客様に推奨します。」

当社の意見では、PhantomRPCを適切に緩和するには、RPC アーキテクチャの深い変更が必要になります。これは既存のWindowsバージョンで互換性を損なわずに行うのは困難です。必要な変更の規模を考えると、これは将来のバージョンで見られるものかもしれません。

あなたができることは:

  • PhantomRPCはより大きなチェーンの一部であるため、Windowsを更新し続けることは依然として非常に重要です。
  • 管理者アカウントは控えめに、その種の権限を必要とするタスクのためだけに使用してください。
  • 疑わしい権限昇格アクティビティを検出し、ブロックできる最新のリアルタイム マルウェア対策ソリューションを使用してください。
  • 悪質なサービスがその場所に入る可能性があるため、サービスを盲目的に無効にしたり「強化」したりすることを避けてください。

タイトルの質問に答えるには:それは多くの方法で悪用される可能性のある「機能」のように見えます。元の脅威モデルから生き残ったものです。ディフェンダーは、それらを一度限りのCVEではなく、継続的なリスクとして扱う必要があります。

Image

「惑星上で最も優れたサイバーセキュリティスイートの1つ。」 

CNETによると。 彼らのレビューを読んでください

翻訳元: https://www.malwarebytes.com/blog/news/2026/04/microsoft-wont-patch-phantomrpc-feature-or-bug

ソース: malwarebytes.com
#Kaspersky #Microsoft #PhantomRPC #RPC脆弱性 #Windows RPC #Windows脆弱性 #セキュリティパッチ #ローカル権限昇起 #権限昇格 #脆弱性情報

関連記事

詐欺チェックがはるかに簡単に:Malwarebytesが今Claudeに登場

偽のCAPTCHA詐欺が素早いクリックを高額な電話代に変える

中国人エンジニアが米軍とNASAのソフトウェアを数年間盗んだ