PhantomRPC：Windows RPC架构中的新型本地提权漏洞分析

🔓 High 漏洞利用

攻击者利用Windows RPC架构中的设计缺陷，通过一个拥有SeImpersonatePrivilege权限的进程（如Local Service或Network Service）发起恶意RPC请求，可以绕过现有安全机制，将权限提升至SYSTEM级别。该漏洞影响所有Windows版本，且微软尚未发布补丁。

来源：Kaspersky Securelist | 2026-04-24 | 原文链接

🔍 关键发现

• 发现一种全新的基于RPC架构的本地提权技术（PhantomRPC），与经典的“Potato”系列提权方法在原理上截然不同。
• 该漏洞源于Windows RPC的架构性弱点，而非单个服务的逻辑错误，导致潜在的攻击路径数量几乎无限。
• 攻击者可以利用Group Policy服务（gpsvc）与TermService（终端服务）之间的RPC交互作为其中一个提权路径，通过强制触发策略更新实现权限提升。

⚔️ 攻击链分析

1. 攻击者获得一个具有SeImpersonatePrivilege权限的进程上下文（如Network Service）。 2. 攻击者作为RPC客户端，向目标RPC服务（如TermService）发送特制的RPC请求。 3. 利用RPC架构缺陷，诱使高权限RPC服务（如SYSTEM权限的gpsvc）在响应过程中进行不安全的模拟操作。 4. 攻击者通过模拟获取SYSTEM令牌，完成权限提升。

🚩 失陷指标 (IOC)

• 异常的RPC调用序列，特别是涉及ALPC端口的非常规连接。
• gpupdate.exe /force命令在非预期时间或由非管理员账户触发。

🛡️ 缓解建议

• ✅ 严格限制拥有SeImpersonatePrivilege权限的账户和进程，避免不必要的服务账户拥有该权限。
• ✅ 监控和审计RPC接口的调用，特别是来自低权限进程对高权限服务的异常调用。
• ✅ 在无法修复架构漏洞的情况下，考虑通过安全策略限制或禁用不必要的RPC服务（如TermService）。

涉及漏洞：[]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。