Celah RPC Windows Bisa Tingkatkan Hak Akses di Semua Versi

bacatutorial /

Update OS WindowsDunia keamanan siber kembali dihebohkan dengan temuan baru yang cukup serius. Sebuah celah bernama PhantomRPC ditemukan pada sistem Windows, tepatnya di komponen Remote Procedure Call (RPC). Celah ini memungkinkan penyerang untuk meningkatkan hak akses dari level rendah hingga ke level tertinggi, yaitu SYSTEM, dan berpotensi berdampak pada hampir semua versi Windows.

Baca Juga : Microsoft Hapus Sebagian Fitur Copilot AI di Windows

Penelitian ini dipresentasikan oleh Haidar Kabibo, spesialis keamanan aplikasi dari Kaspersky, dalam ajang Black Hat Asia 2026 pada 24 April lalu. Dalam paparannya, ia mengungkap ada lima skenario eksploitasi berbeda yang bisa dimanfaatkan, dan hingga saat ini belum ada patch resmi dari Microsoft untuk menutup celah tersebut.

Apa Itu PhantomRPC?

Berbeda dari celah keamanan pada umumnya, PhantomRPC bukanlah bug klasik seperti kerusakan memori atau kesalahan logika pada satu komponen. Masalah utamanya justru terletak pada desain arsitektur dari sistem RPC di Windows, khususnya pada file rpcrt4.dll.

Celah ini muncul ketika sebuah proses dengan hak akses tinggi mencoba melakukan koneksi RPC ke server yang ternyata sedang offline atau tidak aktif. Dalam kondisi ini, sistem RPC tidak melakukan verifikasi apakah server yang merespons benar-benar valid atau tidak.

Di sinilah peluang muncul. Penyerang dengan akses rendah, misalnya melalui akun NT AUTHORITY\NETWORK SERVICE, bisa membuat server RPC palsu yang menyamar sebagai endpoint resmi. Server palsu ini kemudian dapat mencegat koneksi dari proses yang memiliki hak akses lebih tinggi.

Bagaimana Cara Eksploitasinya?

Bagaimana Cara Eksploitasinya

Inti dari serangan ini ada pada penggunaan API bernama RpcImpersonateClient. Ketika klien dengan hak akses tinggi terhubung ke server palsu, penyerang bisa memanggil API ini untuk mengambil alih konteks keamanan dari klien tersebut.

Hasilnya? Hak akses bisa langsung meningkat dari akun biasa menjadi Administrator bahkan SYSTEM dalam satu langkah.

Lima Skenario Serangan yang Perlu Diwaspadai

Peneliti mengidentifikasi lima jalur eksploitasi nyata yang bisa dimanfaatkan:

  1. gpupdate.exe coercion
    Perintah gpupdate /force akan memicu layanan Group Policy (berjalan sebagai SYSTEM) untuk melakukan RPC call ke TermService. Jika layanan ini dimatikan, server palsu bisa mencegat dan memberikan akses SYSTEM.
  2. Startup Microsoft Edge
    Saat msedge.exe dijalankan, ia melakukan RPC call dengan level impersonasi tinggi. Penyerang bisa memanfaatkan momen ini untuk naik dari Network Service ke Administrator tanpa interaksi tambahan.
  3. Layanan Background WDI
    Service Diagnostic System Host secara berkala (5–15 menit) melakukan RPC call ke TermService. Tanpa perlu interaksi user, penyerang cukup menunggu momen ini terjadi.
  4. ipconfig.exe dan DHCP Client
    Saat menjalankan ipconfig.exe, sistem akan melakukan RPC call ke DHCP Client. Jika layanan DHCP dimatikan dan ada server palsu, hak akses bisa meningkat ke Administrator.
  5. w32tm.exe dan Windows Time
    Tool ini mencoba terhubung ke named pipe \PIPE\W32TIME yang tidak ada. Penyerang bisa membuat endpoint palsu tanpa perlu mematikan layanan asli, lalu mengambil alih hak akses pengguna dengan privilege tinggi.

Respons Microsoft

Celah ini sebenarnya sudah dilaporkan ke Microsoft Security Response Center (MSRC) sejak 19 September 2025. Namun, Microsoft mengklasifikasikannya sebagai kerentanan dengan tingkat moderat, karena membutuhkan hak akses SeImpersonatePrivilege—yang secara default memang sudah dimiliki oleh akun seperti Network Service dan Local Service.

Akibatnya, tidak ada CVE yang diterbitkan, dan kasus ini ditutup tanpa jadwal perbaikan resmi.

Langkah Mitigasi yang Bisa Dilakukan

Sambil menunggu kemungkinan update di masa depan, ada beberapa langkah yang bisa dilakukan untuk meminimalkan risiko:

  • Aktifkan monitoring RPC berbasis ETW untuk mendeteksi error seperti RPC_S_SERVER_UNAVAILABLE (Event ID 1) yang mencurigakan.
  • Hidupkan layanan yang sebelumnya dimatikan seperti TermService agar tidak bisa diambil alih oleh server palsu.
  • Batasi penggunaan SeImpersonatePrivilege hanya untuk proses yang benar-benar membutuhkan. Hindari memberikannya ke aplikasi pihak ketiga.

Sebagai tambahan, Kaspersky juga merilis tools penelitian mereka melalui repository GitHub PhantomRPC. Tools ini bisa digunakan organisasi untuk mengaudit sistem mereka dan mendeteksi pola RPC yang berpotensi dieksploitasi.

Baca Juga : Microsoft Rilis Update Defender Baru untuk Windows 11, 10, dan Server

Dengan munculnya PhantomRPC, ini jadi pengingat bahwa celah keamanan tidak selalu berasal dari bug sederhana, tapi juga bisa dari desain sistem itu sendiri. Jadi, penting untuk tetap waspada dan rutin memperbarui strategi keamanan, terutama jika kamu mengelola infrastruktur berbasis Windows.

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *