PhantomRPC : Windows RPC élève au SYSTEM, pas de patch

Ce qui s'est passé

Lors de Black Hat Asia 2026, le 24 avril, le chercheur Haidar Kabibo (Kaspersky GReAT) a présenté PhantomRPC, une vulnérabilité architecturale du runtime Remote Procedure Call de Windows. Le défaut réside dans la gestion par rpcrt4.dll des connexions vers des serveurs RPC indisponibles : lorsqu'un processus privilégié tente un appel RPC vers un service éteint ou désactivé, le runtime n'effectue aucune vérification d'identité du serveur qui répond. Un attaquant local peut ainsi enregistrer un faux endpoint avec le même UUID d'interface qu'un service système et capturer la communication.

Le mappeur d'endpoints (EPM) renvoie le dernier endpoint enregistré pour un UUID donné, ce qui suffit à hijacker une connexion légitime. Kabibo détaille cinq chemins d'exploitation. Le premier déclenche gpupdate /force, qui force le service Group Policy Client (exécuté en SYSTEM) à appeler TermService ; si TermService est désactivé, le faux serveur RPC de l'attaquant intercepte l'appel et hérite du contexte SYSTEM. Le second exploite ipconfig.exe, dont l'appel interne au DHCP Client permet à un compte Local Service de basculer en Administrator si le service DHCP est arrêté.

La vulnérabilité a été signalée au MSRC le 19 septembre 2025. Microsoft a répondu vingt jours plus tard en classant le problème comme « modéré » au motif que l'attaque exige le privilège SeImpersonatePrivilege, déjà détenu par défaut par les comptes Network Service et Local Service. Aucun CVE n'a été assigné, et le ticket a été fermé sans planification de correctif. Les détails techniques et un proof-of-concept sont désormais publics sur le blog Securelist.

Pourquoi c'est important

PhantomRPC redonne aux attaquants un primitive d'élévation de privilèges universelle, que les solutions EDR auront du mal à détecter puisque le scénario repose sur des outils légitimes (gpupdate, ipconfig) et sur des appels RPC autorisés. Toute machine où un compte de service web (IIS, SQL Server, Exchange) est compromis devient candidate à une bascule SYSTEM, sans déposer de binaire suspect. Pour les groupes de ransomware, c'est un cadeau : la phase de privilege escalation devient triviale.

Le refus de Microsoft de patcher est motivé par la dépendance à SeImpersonatePrivilege, mais ce raisonnement ignore les centaines de milliers de serveurs où ce privilège est délibérément accordé pour permettre l'authentification déléguée. Les administrateurs Windows doivent désormais traiter PhantomRPC comme une dette de sécurité résiduelle : durcir la politique de privilèges, surveiller les enregistrements RPC anormaux, et envisager de désactiver les chemins d'attaque connus en attendant une éventuelle réaction de l'éditeur.

Ce qu'il faut retenir

• PhantomRPC permet d'usurper un endpoint RPC pour intercepter les appels d'un processus SYSTEM et hériter de son contexte.
• Toutes les versions de Windows et Windows Server sont vulnérables, sans correctif Microsoft prévu à ce jour.
• La défense passe par la révision de SeImpersonatePrivilege, la surveillance des enregistrements RPC suspects et le hardening des comptes de service.