Kaspersky ha individuato PhantomRPC, una vulnerabilità legata all’architettura Remote Procedure Call di Windows che può aprire nuovi scenari di escalation dei privilegi in locale. La ricerca è stata presentata a Black Hat Asia 2026 e pubblicata su Securelist, il portale tecnico dell’azienda dedicato alle analisi di sicurezza. Il punto rilevante è che PhantomRPC non viene descritto come il difetto di un singolo componente, ma come un comportamento architetturale del modello RPC di Windows. In determinate condizioni, un processo con privilegi di impersonificazione può creare un server RPC falso, imitare un servizio legittimo e ricevere richieste da processi con privilegi superiori. Da lì, l’attaccante può arrivare a un contesto SYSTEM o a un account amministrativo.
Che cos’è PhantomRPC e perché riguarda Windows
Il meccanismo RPC consente a un processo Windows di richiamare funzioni esposte da un altro processo, anche se i due operano in contesti separati. È una componente centrale della comunicazione interna del sistema operativo e fa parte del più ampio ecosistema IPC, cioè Interprocess Communication.
Kaspersky spiega che il problema nasce nel momento in cui un client RPC tenta di collegarsi a un server legittimo non disponibile. In quello scenario, un processo malevolo può esporre un endpoint compatibile e presentarsi come se fosse il server atteso. Se la richiesta arriva da un processo privilegiato e usa un livello elevato di impersonificazione, il server falso può impersonare il client e assumere privilegi superiori. Il caso non equivale a un accesso remoto diretto da Internet. Si parla di escalation locale dei privilegi, quindi l’attaccante deve già avere un punto d’appoggio sul sistema, per esempio tramite un servizio compromesso con account Local Service o Network Service. La criticità sta nel passaggio successivo: da un contesto limitato a un livello molto più alto.
I percorsi di attacco analizzati da Kaspersky
Nel report tecnico sono stati descritti cinque percorsi di sfruttamento. Alcuni richiedono interazione dell’utente, altri dipendono da servizi in background o da processi di sistema. La ricerca cita scenari legati a componenti come TermService, Group Policy Client, Microsoft Edge, WDI, DHCP Client e Windows Time Service.
Un esempio riguarda un servizio compromesso con identità Network Service. L’attaccante può creare un server RPC malevolo che imita l’interfaccia del servizio Remote Desktop. Se il servizio Group Policy, eseguito con privilegi SYSTEM, invia una richiesta RPC verso quell’endpoint, il server falso può usare l’impersonificazione del client e ottenere un contesto SYSTEM.
Un altro scenario citato nel report riguarda Microsoft Edge. All’avvio, il browser può attivare una chiamata RPC verso TermService. Se il servizio atteso non è disponibile e un server falso ha preso il suo posto, un utente con privilegi elevati può diventare involontariamente il vettore che consente l’escalation.
Perché il problema è difficile da delimitare
La parte più delicata riguarda la natura del problema. Kaspersky non parla di una vulnerabilità circoscritta a una DLL o a un singolo servizio, ma di un comportamento che può riaffiorare in percorsi diversi. Ogni nuovo processo o servizio che si appoggia a RPC può introdurre un ulteriore vettore di attacco, se crea le condizioni corrette.
Haidar Kabibo, Application Security Specialist di Kaspersky, sottolinea che i percorsi esatti possono cambiare da un sistema all’altro in base al software installato, alle DLL coinvolte nella comunicazione RPC e alla disponibilità dei server RPC corrispondenti. Questo rende PhantomRPC un elemento da valutare caso per caso, soprattutto negli ambienti aziendali con molte applicazioni e servizi personalizzati.
La posizione di Microsoft e l’assenza di una patch immediata
Il report Securelist indica che Kaspersky ha inviato una relazione tecnica al Microsoft Security Response Center. Microsoft ha classificato il caso come gravità moderata, poiché l’attacco richiede già la presenza del privilegio SeImpersonatePrivilege nel processo di origine. Per questo motivo, non è stato assegnato un CVE e non risulta prevista una correzione immediata.
Questa valutazione non elimina il rischio operativo. In molti ambienti Windows, alcuni processi o servizi possono disporre di privilegi di impersonificazione per esigenze legittime. Se tali privilegi finiscono su componenti personalizzati, applicazioni di terze parti o servizi esposti, l’area di rischio può ampliarsi.
Le mitigazioni suggerite
Kaspersky consiglia di introdurre un monitoraggio basato su ETW, Event Tracing for Windows, con attenzione particolare agli eventi in cui client RPC tentano di collegarsi a server non disponibili. Questo tipo di visibilità può aiutare i team di sicurezza a individuare endpoint inattesi, eccezioni RPC e contesti nei quali un server legittimo dovrebbe essere presente ma non risulta attivo.
Un’altra misura riguarda la limitazione di SeImpersonatePrivilege. Il privilegio dovrebbe restare assegnato solo ai processi che ne hanno reale necessità. La sua presenza su servizi custom o software di terze parti può aumentare la superficie d’attacco e offrire a un intruso già presente sulla macchina una strada verso privilegi più elevati.
Kaspersky ha pubblicato anche un repository di ricerca con proof-of-concept e strumenti per raccogliere processi vulnerabili, precisando che il materiale è destinato a test e analisi in ambienti controllati.
Perché le aziende devono prestare attenzione
PhantomRPC rientra in una categoria di problemi che interessa in modo particolare gli ambienti enterprise: vulnerabilità che non sempre generano un allarme immediato, ma che possono diventare decisive dopo una compromissione iniziale. Un attaccante con accesso limitato a un host Windows potrebbe usare questa tecnica per ottenere privilegi superiori e muoversi con maggiore libertà nel sistema.
