แคสเปอร์สกี้ค้นพบ PhantomRPC ช่องโหว่ RPC ในวินโดวส์ที่อนุญาตให้ผู้โจมตีสร้างเซิร์ฟเวอร์ปลอมและยกระดับสิทธิ์ได้

 

แคสเปอร์สกี้ค้นพบและระบุตัว PhantomRPC ซึ่งเป็นช่องโหว่ใน Remote Procedure Call ของวินโดวส์ที่เกิดจากพฤติกรรมการออกแบบทางสถาปัตยกรรม ผลการวิจัยนี้แคสเปอร์สกี้ได้นำเสนอในงาน Black Hat Asia 2026

นักวิจัยของแคสเปอร์สกี้พบว่า ปัญหาดังกล่าวทำให้เกิดเทคนิคการยกระดับสิทธิ์แบบใหม่ในระดับโลคอล แทนที่จะเป็นการใช้ประโยชน์จากส่วนประกอบที่ผิดพลาดเพียงจุดเดียว ในสถานการณ์ที่กระบวนการมีสิทธิ์ในการปลอมแปลงตัวตน ผู้โจมตีสามารถใช้ประโยชน์จากพฤติกรรมนี้เพื่อเข้าถึงระดับ SYSTEM ได้

นักวิจัยได้ตรวจสอบเส้นทางการโจมตีที่แตกต่างกัน 5 เส้นทางเพื่อแสดงให้เห็นว่าสิทธิ์สามารถยกระดับได้จากบริบทบริการโลคอลหรือเครือข่ายต่างๆ ไปยัง SYSTEM หรือบัญชีที่มีสิทธิ์สูงอื่นๆ เนื่องจากปัญหาเกิดจากจุดอ่อนทางสถาปัตยกรรม จำนวนเวกเตอร์การโจมตีที่เป็นไปได้จึงแทบไม่จำกัด กระบวนการหรือบริการใหม่ใดๆ ที่ขึ้นอยู่กับ RPC อาจนำเสนอเส้นทางการยกระดับสิทธิ์เพิ่มเติมได้

ไฮดาร์ คาบิโบ ผู้เชี่ยวชาญด้านความปลอดภัยของแอปพลิเคชัน แคสเปอร์สกี้ กล่าวว่า “เส้นทางการโจมตีที่แน่นอนอาจแตกต่างกันไปในแต่ละระบบ ขึ้นอยู่กับปัจจัยต่างๆ เช่น ซอฟต์แวร์ที่ติดตั้งในระบบ ไฟล์ DLL ที่เกี่ยวข้องกับการสื่อสาร RPC และว่าเซิร์ฟเวอร์ RPC ที่เกี่ยวข้องพร้อมใช้งานหรือไม่ ความแปรปรวนนี้ทำให้ช่องโหว่นี้มีความสำคัญอย่างยิ่งสำหรับองค์กรที่จะต้องพิจารณาเมื่อประเมินความเสี่ยงและกลยุทธ์การบรรเทาผลกระทบ”

Microsoft RPC workflow

การสื่อสารระหว่างกระบวนการ (Windows Interprocess Communication - IPC) ในวินโดวส์เป็นหนึ่งในระบบย่อยที่ซับซ้อนที่สุดในระบบปฏิบัติการ หัวใจสำคัญของระบบนิเวศนี้คือกลไกการเรียกใช้ฟังก์ชันระยะไกล (RPC) ซึ่งสามารถทำงานได้ทั้งในฐานะช่องทางการสื่อสารแบบอิสระ หรือเป็นเลเยอร์การขนส่งพื้นฐานสำหรับเทคโนโลยี IPC ระดับสูงกว่า ในวินโดวส์นั้น RPC ช่วยให้การสื่อสารระหว่างกระบวนการเป็นไปได้โดยอนุญาตให้กระบวนการหนึ่งเรียกใช้ฟังก์ชันที่ใช้งานในอีกกระบวนการหนึ่งได้ แม้ว่ากระบวนการเหล่านั้นจะทำงานในบริบทที่แตกต่างกันก็ตาม

สามารถอ่านรายงานฉบับเต็มได้ที่เว็บไซต์ Securelist.com ของแคสเปอร์สกี้

https://securelist.com/phantomrpc-rpc-vulnerability/119428/

ตัวอย่างการใช้งานจริงสามารถพบได้ในคลังข้อมูลงานวิจัย

https://github.com/klsecservices/PhantomRPC

แคสเปอร์สกี้แนะนำให้องค์กรต่างๆ ดำเนินการเพื่อตรวจจับและลดผลกระทบจากการโจมตีที่อาจเกิดขึ้น ดังนี้

 ใช้การตรวจสอบแบบ ETW (Electronic Threat Working) วิธีนี้ช่วยระบุข้อผิดพลาด RPC ภายในสภาพแวดล้อม โดยเฉพาะอย่างยิ่งในกรณีที่ไคลเอ็นต์ RPC พยายามเชื่อมต่อกับเซิร์ฟเวอร์ที่ไม่พร้อมใช้งาน การตรวจสอบเหตุการณ์ดังกล่าวสามารถช่วยให้ผู้ดูแลระบบตรวจจับสถานการณ์ที่คาดว่าจะมีเซิร์ฟเวอร์ RPC ที่ถูกต้อง แต่กลับไม่ทำงาน ในบางกรณี พื้นที่การโจมตีอาจลดลงได้โดยการเปิดใช้งานบริการที่เกี่ยวข้อง เพื่อให้แน่ใจว่าปลายทาง RPC ที่ถูกต้องพร้อมใช้งาน และจำกัดโอกาสที่ผู้โจมตีจะติดตั้งเซิร์ฟเวอร์ที่เป็นอันตรายที่เลียนแบบเซิร์ฟเวอร์เหล่านั้น

 จำกัดการใช้สิทธิ์ SeImpersonatePrivilege สิทธิ์นี้ควรจำกัดไว้เฉพาะกระบวนการที่จำเป็นอย่างยิ่งเท่านั้น แม้ว่ากระบวนการของระบบบางอย่างจะขึ้นอยู่กับสิทธิ์นี้สำหรับการทำงานปกติ แต่บางครั้งก็มีการให้สิทธิ์นี้แก่กระบวนการที่กำหนดเองหรือกระบวนการของบุคคลที่สาม ซึ่งโดยทั่วไปถือว่าเป็นแนวทางปฏิบัติด้านความปลอดภัยที่ไม่ดี