文章总结： 文档介绍了一种名为PhantomRPC的新型Windows本地权限提升技术，利用RPC运行时未验证服务器合法性的架构缺陷，攻击者可通过伪造RPC服务器并调用RpcImpersonateClient实现SYSTEM权限提升。关键条件是需要SeImpersonatePrivilege权限且合法RPC服务不可用。文章提供了缓解建议：限制非标准进程的SeImpersonatePrivilege权限、启用合法RPC服务占用端点、监控RPC事件检测冒充尝试。 综合评分： 85 文章分类： 漏洞分析,红队,内网渗透,Windows安全,应急响应

PhantomRPC：一种新的权限提升方法

Ots安全

2026年6月16日 19:38 广东

在小说阅读器读本章

去阅读

威胁简报

恶意软件

漏洞攻击

Windows 架构带来了一个新的惊喜，或者更确切地说，是在一项旧技术中带来了一个新的攻击面。

Windows 系统中的进程间通信依赖于RPC（远程过程调用），这是一个复杂的机制，多年来不断有漏洞被发现。我们的专家 Khaydar Kabibo 长期研究 RPC 安全，他发现了一种新的本地权限提升架构途径，并将其命名为 PhantomRPC。

• 该技术的本质是：攻击者设置一个伪造的 RPC 服务器，该服务器使用与合法服务器相同的 UUID/端点响应客户端请求，然后它调用RpcImpersonateClient，这使得服务器线程能够模拟调用客户端的安全上下文，直至 SYSTEM。
• 关键条件：攻击者的进程必须拥有权限SeImpersonatePrivilege（通常适用于网络服务或本地服务帐户）。在这种情况下，如果合法的 RPC 服务器不可用（例如，当相应的服务被禁用时），则有可能提升到 SYSTEM 或管理员级别。

这并非特定服务（例如 Potato 系列服务）的漏洞，而是由于 RPC 运行时未验证 RPC 服务器的合法性，导致其他进程将同一端点注册为合法服务器。在某些情况下，还需要满足额外的环境条件（例如，存在特定的 GPO 配置）。

所有描述的提权路径均已在安装了当时最新更新的 Windows Server 2022 和 Windows Server 2025 上进行了测试。作者指出，由于这是一个架构问题，因此该漏洞也可能被其他版本的 Windows 系统利用。

在补丁发布之前可以做些什么：

— 尽量减少SeImpersonatePrivilege非标准/自定义流程（如果不需要则删除）；

— 如果可能，启用基于 RPC 的合法服务，以便其 RPC 端点由合法服务器占用；

— 启用 ETW 对 RPC 事件的监控，并跟踪RPC_S_SERVER_UNAVAILABLE来自高权限客户端的错误，以便在实际执行之前检测到冒充尝试。

因此，PhantomRPC 在 Windows RPC 中开辟了一个新的攻击面，需要使用此协议的管理员和应用程序开发人员持续关注。

更多详细信息，包括代码示例和利用方案，请参阅文章“ PhantomRPC：Windows RPC 中的一种新的权限提升技术”。https://securelist.com/phantomrpc-rpc-vulnerability/119428/

该报告也被列入今天在新加坡举行的Black Hat Asia 2026大会的议程中。

https://blackhat.com/asia-26/briefings/schedule/#phantomrpc-a-new-privilege-escalation-flaw-in-windows-rpc-50806

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《PhantomRPC：一种新的权限提升方法》