- Nhà nghiên cứu Haidar Kabibo (Kaspersky) công bố PhantomRPC — lỗ hổng kiến trúc trong RPC runtime cho phép tiến trình có SeImpersonatePrivilege leo lên SYSTEM khi service gốc (RDP, DHCP, W32Time...) đang tắt.
- Đã báo MSRC từ tháng 9/2025, Microsoft xếp mức trung bình, không cấp CVE, không vá.
TL;DR
PhantomRPC là lỗ hổng local privilege escalation ở tầng kiến trúc Windows RPC, công bố ngày 24/04/2026 trên Securelist bởi Haidar Kabibo. Nếu một service có RPC endpoint (ví dụ Remote Desktop / TermService) đang tắt, bất kỳ tiến trình nào trên máy cũng có thể đứng ra đăng ký cùng endpoint đó. Khi các service SYSTEM gọi tới, attacker gọi RpcImpersonateClient và leo lên SYSTEM — miễn là có SeImpersonatePrivilege. Ảnh hưởng mọi phiên bản Windows tới Server 2025. Microsoft đóng case với mức trung bình, không cấp CVE, không phát hành bản vá.
What's new
Khác với họ "Potato" (JuicyPotato, PrintSpoofer, GodPotato) vốn khai thác NTLM relay hoặc COM, PhantomRPC tấn công trực tiếp thiết kế của RPC runtime: runtime không xác thực danh tính của tiến trình đăng ký một well-known endpoint khi server thật không chạy. Tác giả gọi vui đây là "Not A Potato" — một lớp lỗ hổng mới hoàn toàn.
Báo cáo gửi MSRC ngày 19/09/2025 (case 101749). Đến 10/10/2025, Microsoft đánh giá mức moderate, đóng case, từ chối cấp CVE. Whitepaper và PoC được công bố sau thời gian embargo.
Why it matters
Ba lý do lỗ hổng này nghiêm trọng hơn nhãn "moderate" mà Microsoft gắn:
- Không có bản vá. Defender phải tự xoay xở bằng ETW monitoring và hardening cấu hình — không phải patch-and-forget.
- Điều kiện kích hoạt dễ gặp. RDP tắt mặc định trên workstation. DHCP, WDI, W32Time cũng hay ở trạng thái idle. Bối cảnh "service gốc không chạy" là bình thường, không phải ngoại lệ.
- Mặt bằng tiến trình có quyền
SeImpersonatePrivilegerất rộng: IIS worker, SQL Server, các service chạy dưới Local Service / Network Service. Bất kỳ RCE nào trong web server hay service account đều có thể chuyển hóa thành SYSTEM.
Technical facts
| Thuộc tính | Chi tiết |
|---|---|
| Loại | Local Privilege Escalation (LPE), lỗi thiết kế |
| Phạm vi ảnh hưởng | Mọi phiên bản Windows; xác nhận trên Server 2022 và Server 2025 |
| Điều kiện tiên quyết | Code execution với SeImpersonatePrivilege |
| Cơ chế IPC bị lạm dụng | ALPC ports, named pipes (vd \PIPE\W32TIME) |
| API chìa khóa | RpcImpersonateClient |
| Chu kỳ kích hoạt zero-interaction | WDI Diagnostic Host dial RPC mỗi 5–15 phút |
| CVE | Không cấp |
| Bản vá | Không có |
Comparison — PhantomRPC vs họ Potato
| Kỹ thuật | Cơ chế cốt lõi | Điều kiện | Trạng thái vá |
|---|---|---|---|
| JuicyPotato | COM DCOM + NTLM relay | SeImpersonate, Win ≤ 10 1809 | Microsoft đã vá |
| PrintSpoofer | Print Spooler named pipe | SeImpersonate | Vá một phần |
| GodPotato | DCOM OXID resolver | SeImpersonate | Chưa vá hoàn toàn |
| EPM Poisoning (CVE-2025-49760) | Mạo danh well-known server qua EPM | Unprivileged | Đã vá (8/2025) |
| PhantomRPC | RPC runtime không xác thực server khi real service offline | SeImpersonate | Không vá |
Use cases — 5 exploit paths
- Group Policy Service coercion. Attacker chạy
gpupdate /force, buộc gpsvc (SYSTEM) kết nối tới fake TermService endpoint và bị impersonate. - Microsoft Edge user trigger. Khởi động Edge sinh RPC call tới TermService — chờ admin mở Edge là có Admin token.
- WDI Diagnostic Host (zero-interaction). Service SYSTEM này tự động poll RDP RPC mỗi 5–15 phút, không cần tương tác người dùng.
- DHCP Client abuse. Attacker dưới Local Service dựng fake DHCP RPC server; admin chạy
ipconfiglà kích hoạt. - Windows Time service.
w32tm.exegọi\PIPE\W32TIMEkhông tồn tại — attacker đăng ký pipe này và impersonate caller.
Đối tượng hưởng lợi lớn nhất (ở góc độ tấn công): IIS web shell, SQL Server compromised, ransomware cần SYSTEM trước khi lateral movement, red team post-exploitation.
Limitations & pricing
- Không RCE từ xa — cần local code execution trước.
- Cần
SeImpersonatePrivilege— rào cản thấp nhưng không phải zero. - Cần service gốc đang tắt để attacker chiếm endpoint — đây lại là tình trạng phổ biến trên workstation (RDP off by default).
- Microsoft không cấp CVE, không theo dõi tiếp. Không có lịch trình vá.
Mitigation — tự cứu mình khi Microsoft không vá
- Bật legitimate services khi khả thi (hoặc ít nhất đảm bảo TermService, DHCP Client, W32Time chạy khi cần) để attacker không chiếm được endpoint.
- Hạn chế
SeImpersonatePrivilege— kiểm kê service accounts, gỡ quyền khỏi custom app không cần thiết. - ETW monitoring — deploy framework giám sát RPC endpoint registration và exception, detect khi có tiến trình lạ đăng ký well-known endpoint.
- Hardening IIS và các process dễ bị exploit thành service-account RCE.
What's next
Tác giả dự đoán sẽ còn nhiều exploit path khác ngoài 5 con đường đã mô tả — vì đây là lỗi kiến trúc, không phải bug cục bộ. PoC repo và framework ETW monitoring đã công bố cùng whitepaper. Microsoft vẫn giữ lập trường "không vá", nên defender nên coi PhantomRPC là permanent threat model chứ không phải lỗ hổng đợi patch Tuesday.
Nguồn: Securelist — PhantomRPC whitepaper, tweet Haidar Kabibo, The Hacker News — EPM Poisoning prior art, SafeBreach — You Snooze You Lose.
