{"id":1966,"date":"2026-05-20T22:30:08","date_gmt":"2026-05-20T22:30:08","guid":{"rendered":"https:\/\/resguardodigital.cl\/?p=1966"},"modified":"2026-05-20T22:30:08","modified_gmt":"2026-05-20T22:30:08","slug":"phantomrpc-una-vulnerabilidad-en-windows-que-permite-obtener-permisos-elevados-mediante-servidores","status":"publish","type":"post","link":"https:\/\/resguardodigital.cl\/?p=1966","title":{"rendered":"PhantomRPC una vulnerabilidad en Windows que permite obtener permisos elevados mediante servidores"},"content":{"rendered":"<p><strong>Kaspersky<\/strong> ha identificado PhantomRPC, una vulnerabilidad en la arquitectura de Remote Procedure Call (RPC) de Windows que tiene su origen en el propio dise\u00f1o del sistema. Los resultados de la investigaci\u00f3n se presentaron en Black Hat Asia 2026.<\/p>\n<p>Los analistas de la compa\u00f1\u00eda han identificado que esta vulnerabilidad permite una nueva forma de escalada de privilegios a nivel local, sin depender de la explotaci\u00f3n de un \u00fanico componente vulnerable. En los casos en los que un proceso dispone de privilegios de suplantaci\u00f3n, los ciberdelincuentes pueden aprovechar esta caracter\u00edstica para obtener acceso con nivel SYSTEM.<\/p>\n<p>Para demostrarlo, se analizaron <a href=\"https:\/\/securelist.com\/phantomrpc-rpc-vulnerability\/119428\/\" target=\"_blank\" rel=\"noreferrer noopener\">cinco<\/a> posibles v\u00edas de explotaci\u00f3n que permiten escalar privilegios desde distintos contextos locales o de servicios de red hasta cuentas con privilegios elevados o acceso completo al sistema. Dado que el problema radica en una debilidad estructural, el n\u00famero de vectores de ataque potenciales es pr\u00e1cticamente ilimitado: cualquier nuevo proceso o servicio que dependa de RPC podr\u00eda introducir una nueva v\u00eda de escalada. <em>\u201cLas rutas exactas de explotaci\u00f3n pueden variar de un sistema a otro, en funci\u00f3n de factores como el software instalado, las bibliotecas DLL implicadas en la comunicaci\u00f3n RPC o la disponibilidad de los servidores RPC correspondientes<\/em>. <em>\u201cEsta variabilidad hace que la vulnerabilidad sea especialmente relevante para que las empresas eval\u00faen su exposici\u00f3n y definan estrategias de mitigaci\u00f3n adecuadas\u201d. <\/em>Afirma <strong>Haidar Kabibo, especialista en seguridad de aplicaciones en Kaspersky.<\/strong><\/p>\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"856\" height=\"381\" src=\"https:\/\/cybersecuritynews.es\/wp-content\/uploads\/2026\/05\/Imagen1dede.jpg\" alt=\"\" class=\"wp-image-43217\" srcset=\"https:\/\/cybersecuritynews.es\/wp-content\/uploads\/2026\/05\/Imagen1dede.jpg 856w, https:\/\/cybersecuritynews.es\/wp-content\/uploads\/2026\/05\/Imagen1dede-300x134.jpg 300w, https:\/\/cybersecuritynews.es\/wp-content\/uploads\/2026\/05\/Imagen1dede-768x342.jpg 768w\" sizes=\"auto, (max-width: 856px) 100vw, 856px\" \/><figcaption class=\"wp-element-caption\"><em>Flujo de trabajo de Microsoft RPC<\/em><\/figcaption><\/figure>\n<h2 class=\"wp-block-heading\"><strong>Funcionamiento del RPC en Windows<\/strong><\/h2>\n<p>La comunicaci\u00f3n entre procesos en Windows (Interprocess Communication, IPC) es uno de los subsistemas m\u00e1s complejos del sistema operativo. En el n\u00facleo de este ecosistema se encuentra el mecanismo Remote Procedure Call (RPC), que puede funcionar tanto como canal de comunicaci\u00f3n independiente como capa base para tecnolog\u00edas IPC de nivel superior. En Windows, el sistema RPC permite que un proceso ejecute funciones que est\u00e1n en otro proceso, incluso si ambos se ejecutan en contextos diferentes.<\/p>\n<p>Para m\u00e1s informaci\u00f3n, se puede consultar la versi\u00f3n completa del informe en <a href=\"https:\/\/securelist.com\/phantomrpc-rpc-vulnerability\/119428\/\" target=\"_blank\" rel=\"noreferrer noopener\">Securelist<\/a>, as\u00ed como las pruebas de concepto disponibles en el <a href=\"https:\/\/github.com\/klsecservices\/PhantomRPC\" target=\"_blank\" rel=\"noreferrer noopener\">repositorio de la investigaci\u00f3n<\/a>. Los analistas de Kaspersky recomiendan a las organizaciones adoptar medidas para detectar y mitigar posibles abusos:<\/p>\n<ul class=\"wp-block-list\">\n<li><strong>Implementar monitorizaci\u00f3n basada en ETW (Event Tracing for Windows).<\/strong> Esto permite identificar excepciones RPC en el entorno, especialmente cuando clientes RPC intentan conectarse a servidores no disponibles. Supervisar estos eventos ayuda a detectar situaciones en las que se espera que existan servidores leg\u00edtimos que no est\u00e1n en funcionamiento. En algunos casos, habilitar los servicios correspondientes puede reducir la superficie de ataque, al limitar la posibilidad de que los atacantes desplieguen servidores maliciosos que los imiten.<\/li>\n<li><strong>Limitar el uso del privilegio SeImpersonatePrivilege<\/strong>. Este privilegio debe restringirse \u00fanicamente a los procesos que lo necesiten estrictamente. Aunque algunos procesos del sistema dependen de \u00e9l para su funcionamiento normal, en ocasiones se concede a aplicaciones personalizadas o de terceros, lo que se considera una pr\u00e1ctica de seguridad deficiente.<\/li>\n<\/ul>\n<p>La entrada PhantomRPC una vulnerabilidad en Windows que permite obtener permisos elevados mediante servidores se public\u00f3 primero en CyberSecurity News.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kaspersky ha identificado PhantomRPC, una vulnerabilidad en la arquitectura de Remote Procedure Call (RPC) de Windows que tiene<\/p>\n","protected":false},"author":1,"featured_media":1967,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[922,923,920,921,325,918,924,156,866,919],"class_list":["post-1966","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-newsbeat","tag-elevados","tag-mediante","tag-obtener","tag-permisos","tag-permite","tag-phantomrpc","tag-servidores","tag-una","tag-vulnerabilidad","tag-windows"],"_links":{"self":[{"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=\/wp\/v2\/posts\/1966","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1966"}],"version-history":[{"count":0,"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=\/wp\/v2\/posts\/1966\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=\/wp\/v2\/media\/1967"}],"wp:attachment":[{"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1966"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1966"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/resguardodigital.cl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1966"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}