A empresa de cibersegurança Kaspersky revelou a descoberta de uma nova vulnerabilidade profunda na arquitetura do Windows, denominada PhantomRPC. Apresentada durante a conferência Black Hat Asia 2026, esta falha permite que os atacantes criem servidores falsos para escalar os seus privilégios até ao nível mais elevado do sistema, comprometendo gravemente a segurança das máquinas afetadas.
Como funciona a nova ameaça
O problema reside no mecanismo de Remote Procedure Call (RPC) da Microsoft, essencial para a comunicação entre diferentes processos no sistema operativo. Os investigadores detetaram que a falha não provém de um componente isolado com defeito, mas sim da própria forma como a arquitetura foi desenhada. Na prática, se um processo já tiver a capacidade de usurpar identidades, os piratas informáticos conseguem aproveitar este comportamento para ganhar acesso total, conhecido como nível SYSTEM.
A equipa de investigação analisou cinco formas distintas de explorar a vulnerabilidade, provando que é possível elevar os acessos a partir de serviços locais ou de rede. Como a fraqueza é arquitetónica, qualquer novo serviço que dependa do protocolo RPC pode abrir as portas a um ataque. Haidar Kabibo, especialista da Kaspersky, nota que os métodos de invasão variam consoante o computador, os programas instalados e as bibliotecas ativas, o que torna a ameaça um verdadeiro desafio para as equipas de defesa das empresas ao avaliarem as suas estratégias de mitigação.
Medidas de proteção e prevenção
Para combater a PhantomRPC, o relatório detalhado publicado na plataforma Securelist sugere algumas barreiras imediatas que as organizações devem adotar. A primeira recomendação passa pela implementação de monitorização baseada em Event Tracing for Windows (ETW), permitindo aos administradores detetar quando um cliente tenta ligar-se a um servidor RPC indisponível. Esta vigilância ajuda a identificar servidores ilegítimos antes que o ataque se concretize, limitando a janela de oportunidade para os criminosos.
Além disso, é fortemente aconselhado limitar o uso da função SeImpersonatePrivilege. Este privilégio deve estar restrito apenas aos processos vitais do sistema operativo que necessitam ativamente dele. A sua atribuição a programas de terceiros ou processos personalizados é frequentemente vista como uma falha de segurança perigosa no ecossistema e deve ser evitada a todo o custo para garantir a integridade dos equipamentos.
Nenhum comentário
Seja o primeiro!