Kaspersky vừa công bố phát hiện lỗ hổng PhantomRPC trong cơ chế giao tiếp từ xa (Remote Procedure Call – RPC) trên Windows. Lỗ hổng này xuất phát từ đặc điểm thiết kế của hệ thống và có thể bị khai thác để giả mạo máy chủ, từ đó giành quyền truy cập ở mức cao hơn. Kết quả nghiên cứu đã được trình bày tại sự kiện Black Hat Asia 2026.
Theo các chuyên gia, PhantomRPC không bắt nguồn từ một lỗi cụ thể mà liên quan đến cách thức vận hành của hệ thống. Trong một số điều kiện, cơ chế này có thể bị lợi dụng để nâng quyền truy cập ngay trên máy. Nếu một tiến trình có quyền giả mạo (impersonation), kẻ tấn công có thể khai thác để đạt quyền kiểm soát ở cấp hệ thống.
Kaspersky đã phân tích năm kịch bản khai thác, cho thấy khả năng nâng quyền từ các dịch vụ cục bộ hoặc dịch vụ liên quan đến kết nối mạng lên mức cao hơn. Do vấn đề nằm ở thiết kế, phạm vi khai thác không bị giới hạn trong một trường hợp cụ thể. Bất kỳ tiến trình hoặc dịch vụ mới nào sử dụng RPC đều có thể trở thành điểm phát sinh rủi ro nếu không được kiểm soát phù hợp.
Ông Haidar Kabibo, chuyên viên bảo mật ứng dụng tại Kaspersky, cho biết phương thức khai thác có thể khác nhau tùy theo cấu hình hệ thống, bao gồm phần mềm cài đặt, các thư viện liên kết động (DLL) tham gia vào quá trình giao tiếp và sự hiện diện của các máy chủ RPC tương ứng. Những khác biệt này cần được xem xét trong quá trình đánh giá rủi ro và triển khai biện pháp kiểm soát.
Chuyên gia đề xuất các giải pháp giảm thiểu rủi ro
Theo các chuyên gia chia sẻ, vai trò của RPC trong hệ điều hành Windows khá phức tạp: Cơ chế giao tiếp giữa các tiến trình (Interprocess Communication – IPC) là một trong những thành phần cốt lõi của hệ điều hành Windows. Trong đó, RPC đóng vai trò cho phép các tiến trình trao đổi dữ liệu và thực thi chức năng lẫn nhau, kể cả khi hoạt động trong các môi trường riêng biệt. Đây cũng là nền tảng cho nhiều công nghệ giao tiếp cấp cao hơn.
Kaspersky khuyến nghị các tổ chức áp dụng một số biện pháp nhằm phát hiện và hạn chế khả năng khai thác:
- Triển khai giám sát dựa trên ETW để phát hiện các bất thường trong hoạt động RPC, đặc biệt là các yêu cầu kết nối tới máy chủ không tồn tại hoặc không khả dụng.
- Rà soát và giới hạn quyền SeImpersonatePrivilege, chỉ cấp cho các tiến trình thực sự cần thiết nhằm giảm nguy cơ bị lạm dụng.
Xem toàn bộ báo cáo nghiên cứu đã được công bố trên Securelist để biết thêm thông tin.