Kaspersky обнаружила опасную уязвимость PhantomRPC в Windows

Специалисты «Лаборатории Касперского» сообщили об обнаружении новой уязвимости в механизме Windows RPC, которая получила название PhantomRPC, сообщили xrust. Исследователи предупреждают, что проблема может использоваться злоумышленниками для повышения привилегий вплоть до уровня SYSTEM — одного из самых высоких уровней доступа в операционной системе Windows.

По словам экспертов, речь идёт не о единичной ошибке в отдельном приложении или службе, а об архитектурной особенности самой платформы удалённого вызова процедур (RPC). Именно поэтому потенциальная опасность PhantomRPC рассматривается как особенно серьёзная для корпоративных сетей и рабочих станций.

Что такое Windows RPC и почему это важно

Технология RPC (Remote Procedure Call) является одной из базовых частей Windows и отвечает за взаимодействие процессов и служб внутри системы, а также за обмен данными между различными компонентами. Через RPC работают многие системные функции, сетевые сервисы и инструменты администрирования.

Исследователи объяснили, что уязвимость позволяет злоумышленникам создавать поддельные RPC-серверы, которые способны перехватывать запросы и использовать механизмы имитации пользователя. Если атакуемый процесс обладает правом SeImpersonatePrivilege, появляется возможность повысить привилегии до SYSTEM.

Фактически злоумышленник получает почти полный контроль над устройством. Это открывает путь к установке вредоносного ПО, отключению защитных механизмов, доступу к конфиденциальным данным и дальнейшему распространению атаки внутри сети.

Эксперты назвали количество сценариев атаки «фактически неограниченным»

В техническом отчёте специалисты «Лаборатории Касперского» описали пять различных сценариев эксплуатации PhantomRPC. Все они демонстрируют возможность повышения привилегий как из локального, так и из сетевого контекста.

При этом исследователи подчёркивают, что количество потенциальных вариантов атак может быть значительно больше. Причина заключается в самой архитектуре Windows RPC: разные службы, DLL-библиотеки и сторонние программы могут создавать новые цепочки взаимодействия, пригодные для эксплуатации уязвимости.

Эксперты отмечают, что набор возможных сценариев зависит от множества факторов:

• версии Windows;
• конфигурации системы;
• установленного ПО;
• наличия определённых RPC-служб;
• используемых DLL-компонентов;
• политики безопасности организации.

Из-за этого оценка рисков становится более сложной задачей для ИБ-специалистов. Один и тот же механизм может представлять минимальную угрозу в одной инфраструктуре и критическую — в другой.

Почему PhantomRPC вызывает беспокойство у специалистов

Уязвимости с повышением привилегий традиционно считаются одними из самых опасных в сфере информационной безопасности. Даже если злоумышленник уже получил минимальный доступ к системе, дальнейшая эксплуатация подобных ошибок позволяет ему закрепиться в инфраструктуре и получить практически неограниченные возможности.

В случае PhantomRPC дополнительную тревогу вызывает широкое распространение RPC-механизмов в Windows. RPC используется во множестве системных процессов, поэтому полностью исключить взаимодействие с этой технологией невозможно.

Специалисты также обращают внимание, что эксплуатация подобных архитектурных особенностей может усложнить обнаружение атак традиционными средствами защиты, особенно если злоумышленники используют легитимные системные механизмы.

Какие меры защиты рекомендует Kaspersky

Для снижения рисков «Лаборатория Касперского» рекомендует организациям усилить мониторинг активности RPC и ограничить использование привилегии SeImpersonatePrivilege.

В частности, компания советует:

• внедрить мониторинг ETW (Event Tracing for Windows);
• отслеживать ошибки RPC и попытки подключения к недоступным серверам;
• ограничить выдачу SeImpersonatePrivilege только действительно необходимым процессам;
• провести аудит сторонних сервисов и приложений;
• усилить контроль над системными службами Windows.

Эксперты подчёркивают, что особенно осторожно следует относиться к стороннему ПО, которому предоставлены расширенные системные права. Именно такие приложения могут стать дополнительной точкой входа для атакующих.

Угроза актуальна для корпоративных сетей

Наибольшую опасность PhantomRPC представляет для корпоративной инфраструктуры, где активно используются службы удалённого взаимодействия, инструменты администрирования и большое количество системных сервисов.

Специалисты по кибербезопасности считают, что организациям стоит заранее проверить настройки безопасности Windows и провести аудит прав доступа. Даже если массовых атак с использованием PhantomRPC пока не зафиксировано, публикация технических деталей обычно повышает интерес злоумышленников к подобным методам.

Исследование «Лаборатории Касперского» вновь показывает, насколько важным остаётся контроль внутренних механизмов Windows и своевременный мониторинг подозрительной активности в корпоративных системах.

По страницам https://pokde.net