Kaspersky ha identificado PhantomRPC, una vulnerabilidad en la arquitectura de Remote Procedure Call (RPC) de Windows que tiene su origen en el propio diseño del sistema. Los resultados de la investigación se presentaron en Black Hat Asia 2026.

Los analistas de la compañía han identificado que esta vulnerabilidad permite una nueva forma de escalada de privilegios a nivel local, sin depender de la explotación de un único componente vulnerable. En los casos en los que un proceso dispone de privilegios de suplantación, los ciberdelincuentes pueden aprovechar esta característica para obtener acceso con nivel SYSTEM.

Para demostrarlo, se analizaron cinco posibles vías de explotación que permiten escalar privilegios desde distintos contextos locales o de servicios de red hasta cuentas con privilegios elevados o acceso completo al sistema. Dado que el problema radica en una debilidad estructural, el número de vectores de ataque potenciales es prácticamente ilimitado: cualquier nuevo proceso o servicio que dependa de RPC podría introducir una nueva vía de escalada. “Las rutas exactas de explotación pueden variar de un sistema a otro, en función de factores como el software instalado, las bibliotecas DLL implicadas en la comunicación RPC o la disponibilidad de los servidores RPC correspondientes. “Esta variabilidad hace que la vulnerabilidad sea especialmente relevante para que las empresas evalúen su exposición y definan estrategias de mitigación adecuadas”. Afirma Haidar Kabibo, especialista en seguridad de aplicaciones en Kaspersky.

Funcionamiento del RPC en Windows

La comunicación entre procesos en Windows (Interprocess Communication, IPC) es uno de los subsistemas más complejos del sistema operativo. En el núcleo de este ecosistema se encuentra el mecanismo Remote Procedure Call (RPC), que puede funcionar tanto como canal de comunicación independiente como capa base para tecnologías IPC de nivel superior. En Windows, el sistema RPC permite que un proceso ejecute funciones que están en otro proceso, incluso si ambos se ejecutan en contextos diferentes.

Para más información, se puede consultar la versión completa del informe en Securelist, así como las pruebas de concepto disponibles en el repositorio de la investigación. Los analistas de Kaspersky recomiendan a las organizaciones adoptar medidas para detectar y mitigar posibles abusos:

• Implementar monitorización basada en ETW (Event Tracing for Windows). Esto permite identificar excepciones RPC en el entorno, especialmente cuando clientes RPC intentan conectarse a servidores no disponibles. Supervisar estos eventos ayuda a detectar situaciones en las que se espera que existan servidores legítimos que no están en funcionamiento. En algunos casos, habilitar los servicios correspondientes puede reducir la superficie de ataque, al limitar la posibilidad de que los atacantes desplieguen servidores maliciosos que los imiten.
• Limitar el uso del privilegio SeImpersonatePrivilege. Este privilegio debe restringirse únicamente a los procesos que lo necesiten estrictamente. Aunque algunos procesos del sistema dependen de él para su funcionamiento normal, en ocasiones se concede a aplicaciones personalizadas o de terceros, lo que se considera una práctica de seguridad deficiente.