Alerta PhantomRPC, la vulnerabilidad no parcheada de Windows que permite escalar los privilegios
Los de Redmond tienen un enorme problema con Windows. PhantomRPC es una de las vulnerabilidades más peligrosas, pero Microsoft aún no encuentra una solución.
Microsoft se enfrenta a un nuevo problema con Windows. El sistema operativo ha dejado una enorme puerta de entrada para ciberdelincuentes con una vulnerabilidad que da permisos totales a los atacantes.
La vulnerabilidad conocida como PhantomRPC consigue romper la arquitectura del servicio Llamada a Procedimiento Remoto (RPC). El sistema operativo de Microsoft tiene un enorme problema a la hora de dar permisos.
Windows 11 tiene una vulnerabilidad no parcheada
Los de Redmond tienen un problema con PhantomRPC, una debilidad en la arquitectura RPC que gestiona las conexiones. Haidar Kabibo, experto en seguridad de Kaspersky, ha descubierto la vulnerabilidad.
El experto en seguridad ha confirmado la amenaza con PhantomRPC en una publicación en su cuenta de X. Un hacker puede obtener acceso para instalar un servidor RPC malicioso con el que suplantar la identidad de servicios de Windows.
Si el atacante consigue tener más permisos a la hora de conectarse al servidor local, puede suplantar la identidad del usuario para conseguir más privilegios a nivel de sistema o administrador.
Haidar Kabibo confirma que PhantomRPC consigue acceder a servidores utilizando el mismo punto final asignado a los RPC vulnerables del sistema operativo, siempre y cuando estos servicios se estén ejecutando.
Microsoft tiene “un problema de arquitectura”
Los hackers pueden escalar en privilegios fácilmente, Windows 11 termina dejando una puerta abierta. El propio experto en ciberseguridad asegura que los de Redmond tienen “un problema de arquitectura”.
El sistema operativo está diseñado para funcionar con múltiples cuentas de usuario, cada una con sus propios permisos dentro del sistema. Si el atacante consigue acceder a los servicios y explota la vulnerabilidad, podría escalar sus privilegios desde cuentas de bajo nivel a SYSTEM.
Kabibo advierte que el atacante podría tener el control de todo el sistema operativo en cuestión de minutos. La amenaza, que el propio Microsoft consideró de "gravedad moderada" el pasado mes de septiembre, ha escalado en su letalidad.
Microsoft aseguró en ese momento que la clasificación de gravedad moderada se debía a que era necesario tener el permiso SeImpersonatePrivilege. Los de Redmond consideraron que el problema “no requería una solución inmediata”.
El sistema de RPC de Windows ahora permite la comunicación entre dos procesos extendiendo la vulnerabilidad a todo el sistema operativo. Microsoft se ha pronunciado acerca de este fallo, aunque aún no hay un parche que solucione la brecha de seguridad.
“Agradecemos el trabajo de Kaspersky al identificar y reportar este problema mediante una divulgación coordinada de vulnerabilidades. Esta técnica requiere una máquina ya comprometida y no da acceso remoto sin autenticación. Cualquier actualización implica un equilibrio entre la compatibilidad existente y el riesgo para el cliente, y mantenemos nuestro compromiso de fortalecer continuamente nuestros productos”, comenta un portavoz de Microsoft para Dark Reading.