Netcrook Logo
👤 SECPULSE
🗓️ 28 Apr 2026  

PhantomRPC di Windows: la backdoor di escalation dei privilegi che si nasconde in bella vista

Una falla appena scoperta nell’architettura RPC di Windows lascia milioni di utenti vulnerabili a un’escalation dei privilegi furtiva - senza alcuna patch all’orizzonte.

È il tipo di vulnerabilità che tiene svegli la notte i professionisti della sicurezza: un difetto non in un singolo programma, ma nel progetto stesso di Windows. Soprannominata “PhantomRPC”, questa tecnica sfrutta un meccanismo vecchio di decenni al cuore del modo in cui i processi di Windows comunicano tra loro - lasciando esposte tutte le versioni del sistema operativo più diffuso al mondo, e senza una soluzione in vista.

Escalation dei privilegi per progettazione

PhantomRPC, scoperta da Haidar Kabibo di Kaspersky, fa leva su un elemento fondamentale del design di Windows: l’RPC, il sistema che consente ai processi di comunicare e invocare le funzioni gli uni degli altri. Windows permette inoltre ad alcuni servizi di impersonare temporaneamente altri utenti o servizi - una funzionalità pensata per comodità, ma che apre la porta agli abusi.

Ecco il punto critico: il runtime RPC di Windows non verifica in modo rigoroso se un server RPC sia legittimo. Se un attaccante ottiene il controllo di un account di servizio - come i comunemente usati Network Service o Local Service - può avviare un server RPC malevolo che imita un servizio fidato. Quando un processo ad alto privilegio (come il servizio Criteri di gruppo o persino Microsoft Edge) tenta di connettersi, il server fasullo dell’attaccante intercetta la chiamata, impersona il contesto privilegiato ed eleva i propri privilegi a System - il livello più potente sulle macchine Windows.

Molteplici percorsi d’attacco, esposizione enorme

Kabibo ha identificato almeno cinque modi distinti in cui PhantomRPC può essere sfruttata. Gli attaccanti possono abusare di servizi in background come Diagnostic System Host, il client DHCP o persino il servizio Ora di Windows. Alcuni attacchi richiedono di indurre un utente privilegiato a eseguire un comando specifico; altri avvengono automaticamente in background, senza alcuna azione da parte dell’utente. In tutti i casi, il server RPC fasullo dell’attaccante resta in agguato, pronto a cogliere l’attimo in cui un processo privilegiato si fa vivo.

Ciò che rende PhantomRPC particolarmente insidiosa è la sua ampiezza. Innumerevoli componenti di Windows si basano su RPC, il che significa che la reale estensione della superficie d’attacco è vasta e difficile da mappare. Anche chiamate API apparentemente innocue potrebbero, nelle giuste circostanze, innescare un’escalation dei privilegi - senza che l’utente se ne accorga.

Nessuna soluzione semplice, nessuna patch immediata

Kaspersky ha segnalato la falla a Microsoft nel settembre 2025, ma l’azienda l’ha classificata come di gravità moderata, citando la necessità che gli attaccanti possiedano già determinati privilegi. Di conseguenza, al momento non esiste alcuna patch e le organizzazioni sono costrette a mitigare il rischio tramite un monitoraggio attento e una gestione rigorosa dei servizi.

Guardando avanti

PhantomRPC è un monito severo: anche le funzionalità più fondamentali di un sistema possono nascondere debolezze pericolose. Mentre gli attaccanti continuano a sondare le cuciture delle architetture legacy, i difensori dovranno ripensare le proprie assunzioni su fiducia, impersonazione e su cosa significhi davvero che un sistema sia sicuro.

WIKICROOK

  • Remote Procedure Call (RPC): Remote Procedure Call (RPC) è un protocollo che consente ai programmi su computer diversi di comunicare e richiedere servizi come se fossero sulla stessa macchina.
  • Privilege Escalation: L’escalation dei privilegi si verifica quando un attaccante ottiene un accesso di livello superiore, passando da un normale account utente ai privilegi di amministratore su un sistema o una rete.
  • Impersonation: L’impersonazione è quando qualcuno finge di essere un’altra persona o entità online, spesso per ingannare le vittime e rubare informazioni sensibili.
  • Service Account: Un account di servizio è un account non umano creato affinché software o processi automatizzati eseguano attività di sistema, spesso con permessi estesi.
  • System Privileges: I privilegi SYSTEM sono i diritti di accesso più elevati su un sistema Windows, consentendo il pieno controllo su file, impostazioni e operazioni.
PhantomRPC Privilege Escalation Windows Vulnerability
SECPULSE SECPULSE
SOC Detection Lead
← Back to news