Kaspersky研究人員揭露Windows遠端程序呼叫（RPC）架構存在嚴重設計缺陷，命名為「PhantomRPC」的未修補漏洞，可讓僅具低權限的攻擊者透過模擬合法服務，將權限提升至SYSTEM或管理員等級。儘管去年9月已通報微軟，微軟卻評估為「中度風險」而未發布修補或CVE編號，台灣大量使用Windows的企業與政府單位面臨潛在權限提升風險。

 

Kaspersky中階應用程式安全專家Haidar Kabibo於4月25日在X平台與個人部落格公布此發現。他指出，PhantomRPC的根本問題在於Windows RPC機制處理「服務未執行」時的連接方式：作業系統允許任何程序在合法服務未啟動的情況下，使用相同RPC端點註冊惡意RPC伺服器。當高權限程序嘗試連接原本的合法端點時，惡意伺服器便能接收呼叫，若攻擊者擁有「SeImpersonatePrivilege」權限，即可模擬高權限客戶端，達成權限提升。

 

Kabibo解釋，「這是架構層面的問題」。Windows設計上允許多個使用者帳戶以不同權限執行，例如Network Service與Local Service等受限服務帳戶。若攻擊者已取得這些低權限服務的立足點，便能利用PhantomRPC將權限提升至SYSTEM，完全掌控作業系統。

 

研究人員整理出五種不同攻擊路徑，皆源自同一RPC架構弱點。攻擊者只需在本機有限權限下部署惡意RPC伺服器，即可等待高權限程序主動連接，轉換為SYSTEM權杖。Kabibo已在Windows Server 2022與Windows Server 2025最新更新版本上成功驗證PoC（概念驗證），並將程式碼上傳至GitHub公開存放庫。他認為其他Windows版本也極可能受影響。

 

去年9月，Kaspersky以10頁技術報告正式通報微軟。10月微軟回應認定此漏洞僅為「中度嚴重性」，且攻擊前提需已具SeImpersonatePrivilege，因此不符漏洞賞金門檻，亦未指派CVE編號，案件最終「未進一步追蹤」即結案。微軟發言人回應Dark Reading表示：「此技術需機器已遭入侵，且無法提供未經驗證或遠端存取。我們會持續強化產品安全，建議客戶遵循最佳實務，包括限制管理員權限與最小權限原則。」

 

儘管微軟認定風險有限，Kabibo強調在實際企業環境中，許多自訂或第三方程序常被授予SeImpersonatePrivilege，此漏洞仍具高度可利用性。4月微軟共修補165個漏洞，其中超過一半屬權限提升類型，顯示此類問題在Windows防禦中極為關鍵。

 

Kaspersky建議防禦措施包括：

 

由於微軟目前無修補計畫，台灣企業與組織必須自行強化防禦。台灣擁有全球高密度Windows伺服器部署，尤其在金融、科技製造、半導體、醫療與政府機關等單位，Domain Controller與關鍵後台服務大量運行，PhantomRPC一旦被利用，可能讓初階入侵快速演變為全系統掌控。

 

資安專家建議台灣企業立即盤點所有執行Network Service、Local Service等低權限帳戶的服務，檢視是否不必要地擁有SeImpersonatePrivilege；強化事件日誌集中監控與SIEM系統，針對RPC相關異常建立警報規則；並推動最小權限原則，定期稽核權限配置。同時，建議在無法立即升級或修補的系統上，優先啟用相關Windows服務以減少攻擊面。

 

此漏洞再次凸顯Windows RPC作為基礎通訊機制，在現代混合工作環境下的安全性挑戰。隨著企業加速數位轉型與雲端混合部署，任何架構層級的設計缺陷都可能被攻擊者放大利用。台灣作為全球科技供應鏈關鍵樞紐，更需提升對基礎系統漏洞的警覺與應變能力。

 

Kaspersky已提供完整技術細節與PoC，供資安團隊驗證與防護。台灣企業若使用Windows Server環境，建議立即參考Kaspersky研究報告，檢視自身RPC端點配置與權限管理現況，及早降低PhantomRPC被利用的風險。

 

在微軟尚未提供官方修補前，台灣資安團隊必須將此議題列為優先監控項目，結合EDR、行為分析與嚴格權限控管，構築多層防禦。PhantomRPC再次提醒業界：即使是作業系統底層架構，也需持續接受嚴格安全審視。

 

 

出處：本文根據Dark Reading特約記者Elizabeth Montalbano於2026年4月27日刊登的報導《Unpatched 'PhantomRPC' Flaw in Windows Enables Privilege Escalation》改寫整理。