O mecanismo RPC é um dos pilares do Windows, permitindo que um programa execute funções noutro processo de forma transparente. A falha agora identificada permite que atacantes executem uma técnica inédita de escalada local de privilégios (LPE). Ao explorarem esta fraqueza arquitetónica, os criminosos podem criar um servidor RPC falso que interseta comunicações legítimas. Se o processo visado possuir privilégios de usurpação de identidade, o atacante consegue elevar o seu acesso até ao nível máximo do sistema: o nível SYSTEM.
A investigação demonstrou cinco caminhos distintos de exploração, provando que a ameaça pode partir de diversos contextos, como serviços de rede ou locais. Devido à sua natureza estrutural, os especialistas da Kaspersky alertam que o número de vetores de ataque é, teoricamente, ilimitado. Qualquer novo serviço ou aplicação que utilize RPC para comunicar pode, sem saber, estar a abrir uma nova porta para que um utilizador mal-intencionado assuma o controlo total da máquina.
Haidar Kabibo, especialista em segurança da Kaspersky, sublinhou que a eficácia da exploração varia consoante o ecossistema de cada computador, dependendo das bibliotecas DLL instaladas e da disponibilidade de servidores RPC legítimos. Esta variabilidade obriga as empresas a uma análise de risco muito mais personalizada, uma vez que não existe uma "solução única" ou um simples patch que resolva a questão sem alterar as fundações da comunicação entre processos no ecossistema Microsoft.
Para mitigar o risco, a Kaspersky recomenda que as organizações adotem uma monitorização rigorosa baseada em ETW (Event Tracing for Windows). Esta prática permite identificar exceções anómalas em que clientes RPC tentam ligar-se a servidores que não deveriam estar ativos ou que estão indisponíveis. Em muitos casos, manter os serviços legítimos ativos pode, curiosamente, reduzir a superfície de ataque, ao impedir que servidores maliciosos ocupem esses pontos de comunicação vazios.
Outra medida de segurança fundamental passa pela restrição do privilégio SeImpersonatePrivilege. Este acesso deve ser limitado apenas aos processos que dele necessitam de forma absoluta para funcionar, evitando a sua atribuição a aplicações de terceiros ou ferramentas personalizadas. A equipa de investigação já disponibilizou implementações de prova de conceito no seu repositório oficial, permitindo que administradores de sistemas testem a resiliência das suas infraestruturas contra este novo método de ataque.
