PhantomRPC: Neue Windows-Lücke erlaubt vollständige Systemübernahme

Der als „PhantomRPC“ bezeichnete Fehler ermöglicht Angreifern mit eingeschränkten Zugriffsrechten, sich vollständige Systemkontrollrechte zu verschaffen – und Microsoft hat bislang keinen Patch bereitgestellt.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen — ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. Gratis-E-Book zur IT-Sicherheit herunterladen

Architekturfehler statt klassischer Programmierpanne

Anders als typische Sicherheitslücken, die auf Speicherfehlern oder Programmierfehlern beruhen, liegt PhantomRPC in der grundlegenden Architektur der Windows-Kommunikation begründet. Der Sicherheitsexperte Haidar Kabibo von Kaspersky stellte die Entdeckung Ende April auf der Black Hat Asia 2026 vor.

Das Problem betrifft die Art und Weise, wie Windows die Kommunikation zwischen verschiedenen Prozessen über das Remote Procedure Call (RPC)-System abwickelt. Konkret geht es um die Bibliothek rpcrt4.dll, die als zentrale Schnittstelle für die prozessübergreifende Kommunikation dient.

Sicherheitsexperten warnen, dass aufgrund der systemischen Natur des Fehlers potenziell alle Windows-Versionen betroffen sind – einschließlich der aktuellen Windows Server 2022 und Windows Server 2025. Trotz einer umfassenden Meldekette seit Ende 2025 bleibt die Lücke weiterhin ungepatcht.

Fünf Wege zur Systemübernahme

Die Kernschwachstelle liegt in der fehlenden Überprüfung der Identität eines RPC-Servers. Wenn ein Client versucht, eine Verbindung zu einem Dienst hastehlen, der gerade nicht aktiv ist, kann ein Angreifer einen bösartigen RPC-Server platzieren, der den erwarteten Dienst imitiert.

Verbindet sich dann ein hochprivilegierter Prozess – etwa einer, der unter dem SYSTEM-Konto läuft – mit diesem „Phantom“-Server, kann der Angreifer über die RpcImpersonateClient-API die Sicherheitsidentität des Clients übernehmen. Das Ergebnis: vollständige Kontrolle über das Betriebssystem.

Die Forschung identifizierte fünf praktische Szenarien für diese Art von Angriff:

• Windows Diagnostic System Host (WDI): Der WDI-Dienst führt alle 5 bis 15 Minuten RPC-Aufrufe zum Remotedesktopdienst durch. Ist dieser nicht aktiv, kann ein Angreifer dessen Endpunkt besetzen und automatisch SYSTEM-Rechte erlangen.
• Microsoft Edge-Start: Beim Öffnen des Browsers werden RPC-Verbindungen zu bestimmten Diensten aufgebaut, die abgefangen werden können.
• Gruppenrichtlinien-Erzwingung: Durch erzwungene Richtlinien-Updates kann der Gruppenrichtlinien-Client, der als SYSTEM läuft, auf einen gefälschten Endpunkt umgeleitet werden.
• DHCP und IP-Konfiguration: Routineaufgaben wie ipconfig.exe können für die Übernahme administrativer Clients genutzt werden.
• Windows-Zeitdienst: Bestimmte Pipes des Zeitdienstes bieten weitere Angriffsmöglichkeiten.

Microsofts umstrittene Risikobewertung

Die Offenlegung hat eine Debatte über die Klassifizierung von Sicherheitslücken entfacht. Kaspersky meldete die Schwachstelle am 19. September 2025 an das Microsoft Security Response Center (MSRC). Microsoft stufte das Problem am 10. Oktober 2025 als „moderate severity“ (mittlere Schwere) ein.

Die Begründung: Ein Angreifer müsse bereits über das SeImpersonatePrivilege verfügen, um die Lücke auszunutzen. Daher vergab Microsoft weder eine CVE-Kennung noch stellte es einen Patch bereit.

Doch Branchenanalysten widersprechen: Dieses Privileg ist standardmäßig für Konten wie Network Service und Local Service aktiviert – genau jene Konten, die Webserver und andere öffentliche Anwendungen nutzen. „Die Einstufung ignoriert die Realität moderner Mehrstufenangriffe“, kritisieren Sicherheitsforscher. „Ein erster Zugriff auf ein Dienstkonto ist oft erst der Anfang einer vollständigen Systemübernahme.“

Kein Patch in Sicht – was jetzt?

Da Microsoft keinen offiziellen Fix bereitstellt, müssen Unternehmen selbst aktiv werden. Die wichtigste Empfehlung: Event Tracing for Windows (ETW) zur Überwachung spezifischer RPC-Anomalien einsetzen.

Administratoren sollten auf den Statuscode 1722 achten, der auf einen nicht verfügbaren RPC-Server hinweist. In Kombination mit hohen Identitätswechselstufen privilegierter Prozesse kann dies auf einen Endpunkt-Besetzungsversuch hindeuten.

Weitere Schutzmaßnahmen:

• Endpunkte besetzen: Ironischerweise ist es oft die beste Verteidigung, legitime Dienste aktiv zu halten. Solange der echte Dienst seinen RPC-Endpunkt belegt, kann kein Angreifer denselben Namen registrieren.
• Berechtigungen prüfen: Strenges Audit aller Prozesse und Drittanbieter-Anwendungen mit SeImpersonatePrivilege. Weniger Konten mit dieser Berechtigung verkleineren die Angriffsfläche erheblich.
• Diensthärtung: Isolation sensibler Dienstkonten und Einsatz hostbasierter Angriffserkennungssysteme.

Rekord-Schäden durch Phishing und Cyberangriffe zeigen, dass technische Lücken oft nur der Anfang sind. Experten erklären in diesem Paket, wie Sie Ihr Unternehmen in 4 Schritten wirksam vor Cyberkriminalität schützen können. Kostenloses Anti-Phishing-Paket jetzt sichern

Ein neuer Trend in der Sicherheitsforschung

PhantomRPC markiert einen Wandel in der Sicherheitsforschung: Weg von klassischen Speicherfehlern, hin zu systemischen Architekturproblemen. Während Microsoft in den letzten Jahren erfolgreich Maßnahmen gegen „Buffer Overflow“-Angriffe implementiert hat, zeigt PhantomRPC, dass die grundlegende Logik der Windows-Prozesskommunikation weiterhin angreifbar bleibt.

Die Technik ähnelt konzeptionell der bekannten „Potato“-Familie von Exploits, die ebenfalls Identitätswechselmechanismen ausnutzten. Doch Forscher betonen: PhantomRPC ist anders, weil es die Behandlung „geisterhafter“ Dienste ausnutzt – und nicht auf spezifischen Logikfehlern einzelner Komponenten beruht. Das macht den Angriff schwerer zu patchen, ohne tiefgreifende Änderungen an der Windows-RPC-Architektur vorzunehmen.

Ausblick: Ein „Forever Day“ für Windows

Stand Ende April 2026 bleibt PhantomRPC ein „Forever Day“ für Windows-Administratoren: eine bekannte Schwachstelle ohne geplante offizielle Lösung. Die Sicherheitsgemeinschaft erwartet, dass Angreifer nun beginnen, diese Techniken in ihre Lateral-Movement- und Privilege-Escalation-Werkzeuge zu integrieren.

Die Situation unterstreicht die Bedeutung von Zero-Trust-Prinzipien selbst innerhalb des lokalen Betriebssystems. Für viele Unternehmen steht die Aktualisierung ihrer Erkennungsmechanismen für RPC-Endpunkt-Übernahmen ganz oben auf der Prioritätenliste. Langfristig könnte der Druck auf Betriebssystemhersteller steigen, robustere Identitätsprüfungen für alle internen Kommunikationskanäle zu implementieren – damit der „Handschlag“ zwischen Prozessen genauso sicher ist wie die Verbindung zwischen vernetzten Servern.

de | wissenschaft | 69258767 |