Lỗ hổng PhantomRPC xuất phát từ thiết kế cơ chế RPC trên Windows cho phép tin tặc leo thang đặc quyền, buộc doanh nghiệp tăng cường giám sát và kiểm soát quyền truy cập để giảm rủi ro.
Theo đó, Kaspersky vừa công bố phát hiện một điểm yếu bảo mật mới mang tên PhantomRPC, liên quan đến cơ chế giao tiếp từ xa (RPC) trên hệ điều hành Microsoft Windows. Lỗ hổng này không xuất phát từ lỗi lập trình cụ thể mà đến từ chính cách thiết kế của hệ thống, cho phép tin tặc lợi dụng để giả mạo máy chủ và chiếm quyền truy cập.
Theo nghiên cứu được trình bày tại Black Hat Asia 2026, PhantomRPC có thể bị khai thác để nâng quyền trên hệ thống nếu kẻ tấn công kiểm soát được một tiến trình có khả năng “giả mạo” (impersonation). Trong tình huống này, hacker có thể leo thang đặc quyền và thậm chí giành quyền kiểm soát toàn bộ hệ thống.
Các chuyên gia đã thử nghiệm nhiều kịch bản khác nhau và nhận thấy điểm yếu này có thể bị tận dụng từ cả các dịch vụ nội bộ lẫn các thành phần liên quan đến kết nối mạng. Do bắt nguồn từ kiến trúc thiết kế, PhantomRPC mở ra rất nhiều hướng khai thác tiềm tàng, đặc biệt khi bất kỳ dịch vụ hoặc tiến trình mới nào sử dụng RPC đều có thể trở thành mục tiêu tấn công.
Đại diện Kaspersky cho biết cách thức khai thác cụ thể sẽ khác nhau tùy theo môi trường hệ thống, phụ thuộc vào phần mềm cài đặt, các thư viện liên quan cũng như việc các dịch vụ RPC có sẵn hay không. Điều này khiến việc đánh giá rủi ro và triển khai biện pháp bảo vệ trở nên phức tạp hơn đối với doanh nghiệp.
Trên nền tảng Windows, cơ chế RPC là một phần quan trọng của hệ thống giao tiếp giữa các tiến trình (IPC), cho phép các ứng dụng tương tác và thực thi chức năng ngay cả khi hoạt động tách biệt. Chính vì vai trò cốt lõi này, bất kỳ điểm yếu nào trong RPC đều có thể tạo ra rủi ro bảo mật đáng kể.
Để giảm thiểu nguy cơ bị khai thác, Kaspersky khuyến nghị các tổ chức tăng cường giám sát hoạt động RPC thông qua ETW nhằm phát hiện các kết nối bất thường, đặc biệt là những yêu cầu tới máy chủ không tồn tại. Đồng thời, doanh nghiệp nên kiểm soát chặt quyền SeImpersonatePrivilege, chỉ cấp cho các tiến trình thực sự cần thiết để hạn chế khả năng bị lợi dụng.