كشف باحث من شركة Kaspersky عن خلل معماري جوهري في آلية Windows Remote Procedure Call (RPC)، يتيح ترقية الصلاحيات محلياً إلى مستوى SYSTEM أو الوصول إلى حسابات ذات امتيازات مرتفعة. يتطلب نجاح هذا الاختراق سيطرة المهاجم مسبقاً على عملية تمتلك تفويض SeImpersonatePrivilege، الذي يسمح بانتحال هوية العمليات الأخرى داخل النظام. وقد استعرض الباحث هذه النتائج في جلسة بعنوان “PhantomRPC” خلال مؤتمر Black Hat Asia 2026 بسنغافورة في 24 أبريل 2026.
تؤكد Kaspersky أن هذه المشكلة تكمن في جوهر تصميم تفاعل بيئة RPC مع الخوادم غير المتاحة، وليس في أخطاء برمجية تقليدية أو تلف للذاكرة. وتعتمد فكرة الاستغلال على قدرة عملية منخفضة الامتياز على إنشاء خادم RPC مزيف يحاكي نقطة نهاية شرعية، ويمكنها من اعتراض الاتصالات الصادرة من عمليات أعلى امتيازاً. ومن خلال استخدام الدالة RpcImpersonateClient، يتم انتحال السياق الأمني للعملية المتصلة، لفتح مسارات فعلية لتصعيد الصلاحيات داخل نظام التشغيل.
استعرض البحث 5 مسارات عملية لاستغلال هذا الضعف في بيئات اختبار محكمة؛ اعتمد أحدها على تحفيز خدمة Group Policy Client عبر الأمر gpupdate /force للاتصال بخدمة TermService، وهو ما أدى لرفع الصلاحيات إلى مستوى SYSTEM. وتضمنت المسارات الأخرى سيناريوهات تشمل متصفح Microsoft Edge، وخدمة WDI، وأداة ipconfig.exe مع خدمة DHCP Client، وأداة w32tm.exe مع خدمة Windows Time. ويرجح الباحث وجود مسارات إضافية نظراً للاعتماد الواسع لشركة Microsoft على تقنية RPC في مكونات نظام Windows.
أبلغت Kaspersky مركز الاستجابة الأمنية في Microsoft (MSRC) بهذه النتائج في 19 سبتمبر 2025. وصنفت Microsoft الحالة لاحقاً بأنها “متوسطة الخطورة”، مبررة ذلك باشتراط توفر امتياز SeImpersonatePrivilege لدى العملية المهاجمة مسبقاً. وبناء على هذا التقييم، لم يتم تخصيص معرف CVE للمشكلة، كما لم يصدر أي تحديث أمني رسمي لمعالجتها حتى تاريخ نشر التقرير.
لتعزيز الحماية، يوصي الباحثون بتفعيل مراقبة ETW لرصد حالات RPC_S_SERVER_UNAVAILABLE، ومراجعة الحسابات التي تمتلك امتياز SeImpersonatePrivilege لضمان عدم منحه لتطبيقات خارجية دون ضرورة. كما يشير البحث إلى أن تشغيل بعض الخدمات المتوقفة يقلل من فرص نجاح الخوادم المزيفة في الاستحواذ على نقاط النهاية.
