PRINCIPAL DATA SECURITY CONSULTANT

Yeni Windows RPC Güvenlik Açığı, Saldırganların Tüm Windows Sürümlerinde Ayrıcalıkları Yükseltmesine İzin Veriyor

2 min read
2 saat ago Seyhan Tekelioğlu
PhantomRPC, Windows Uzaktan Yordam Çağrısında (RPC) yeni tanımlanmış bir mimari güvenlik açığıdır ve Windows'un her sürümünü potansiyel olarak etkileyen, sistem düzeyinde erişime yerel ayrıcalık yükseltmesini sağlar. Araştırma, Kaspersky uygulama güvenliği uzmanı Haidar Kabibo tarafından 24 Nisan'da Black Hat Asia 2026 'da sunuldu ve hiçbiri Microsoft'tan bir yama almayan beş farklı istismar yolunu detaylandırıyor. PhantomRPC, klasik…

PhantomRPC, Windows Uzaktan Yordam Çağrısında (RPC) yeni tanımlanmış bir mimari güvenlik açığıdır ve Windows'un her sürümünü potansiyel olarak etkileyen, sistem düzeyinde erişime yerel ayrıcalık yükseltmesini sağlar. Araştırma, Kaspersky uygulama güvenliği uzmanı Haidar Kabibo tarafından 24 Nisan'da Black Hat Asia 2026 'da sunuldu ve hiçbiri Microsoft'tan bir yama almayan beş farklı istismar yolunu detaylandırıyor. PhantomRPC, klasik bir bellek bozulma hatası veya tek bir bileşendeki mantık hatası değildir. Bunun yerine, Windows RPC çalışma süresinin (rpcrt4.dll) kullanılamayan RPC sunucularına olan bağlantıları nasıl işlediği konusunda mimari bir tasarım zayıflığından yararlanır. Son derece ayrıcalıklı bir işlem çevrimdışı veya devre dışı bir sunucuya bir RPC çağrısı yapmaya çalıştığında, RPC çalışma zamanı yanıt veren sunucunun meşru olup olmadığını doğrulamaz. Bu, NT OTORİTESİAĞ HİZMETİ altında çalışan gibi düşük ayrıcalıklı bir süreci kontrol eden bir saldırganın, meşru bir uç noktayı taklit eden ve bu çağrıları kesen kötü amaçlı bir RPC sunucusu dağıtabileceği anlamına gelir. Kötü Amaçlı RPC Sunucusu (Kaspersky)

Temel kötüye kullanım, RpcImpersonateClient API'sine dayanır. Ayrıcalıklı bir istemci sahte sunucuya yüksek bir kimliğe bürünme seviyesiyle bağlandığında, saldırganın sunucusu bu API'yi müşterinin güvenlik bağlamını varsaymak için çağırır — düşük ayrıcalıklı bir hizmet hesabından doğrudan SİSTEME veya Yöneticiye yükselir. Beş Kullanım Yolu

Araştırmacılar beş somut saldırı senaryosu belirledi:

gpupdate.exe zorlaması — gpupdate /force tetiklenmesi, Grup İlkesi İstemcisi hizmetinin (SİSTEM olarak çalışan) TermService'e bir RPC çağrısı yapmasına neden olur. TermService devre dışı bırakılırsa, saldırganın sahte RPC sunucusu çağrıyı keserek sistem düzeyinde erişim sağlar. Microsoft Edge başlangıcı — msedge.exe başlatıldığında, yüksek kimliğe bürünme seviyesine sahip TermService'e bir RPC çağrısı tetikler.

Kaynak: Cyber Security News

Yayin Tarihi: 25.04.2026 17:50

Bu haber otomatik olarak Ingilizceden Turkceye cevrilmistir.

Görüntülenme: 1
Tags:

Benzer Yazılar

2 min read

DoS Saldırısında Sömürülen Litecoin Sıfır Gün Güvenlik Açığı, Büyük Madencilik Havuzlarını Sekteye Uğratıyor

15 saat ago Seyhan Tekelioğlu
2 min read

73 GlassWorm ile Bağlantılı VSX Sleeper Uzantılarını Açın Yeni Kötü Amaçlı Yazılım Kampanyasını Etkinleştirin

1 gün ago Seyhan Tekelioğlu
2 min read

Hackerlar, Gerçek Dünya Kargo Gönderilerini Çalmak İçin Kamyonculuk ve Yük Firmalarını Hedef Aldı

4 gün ago Seyhan Tekelioğlu

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bunlara bir göz atın

2 min read

Yeni Windows RPC Güvenlik Açığı, Saldırganların Tüm Windows Sürümlerinde Ayrıcalıkları Yükseltmesine İzin Veriyor

2 saat ago Seyhan Tekelioğlu
2 min read

DoS Saldırısında Sömürülen Litecoin Sıfır Gün Güvenlik Açığı, Büyük Madencilik Havuzlarını Sekteye Uğratıyor

15 saat ago Seyhan Tekelioğlu
2 min read

73 GlassWorm ile Bağlantılı VSX Sleeper Uzantılarını Açın Yeni Kötü Amaçlı Yazılım Kampanyasını Etkinleştirin

1 gün ago Seyhan Tekelioğlu
2 min read

Hackerlar, Gerçek Dünya Kargo Gönderilerini Çalmak İçin Kamyonculuk ve Yük Firmalarını Hedef Aldı

4 gün ago Seyhan Tekelioğlu