Secondo quanto emerso dallo studio di Kaspersky la vulnerabilità non è legata a un singolo componente difettoso, ma a una debolezza architetturale del modello Rpc, che apre la strada a nuove tecniche di escalation dei privilegi locali. In particolare, negli scenari in cui un processo dispone di privilegi di impersonificazione, un attaccante potrebbe sfruttare il comportamento del sistema per ottenere accesso con privilegi System o altri account ad alto livello.
I ricercatori hanno analizzato cinque differenti percorsi di sfruttamento, dimostrando come sia possibile passare da contesti di servizi locali o di rete fino a privilegi di sistema. La natura strutturale della vulnerabilità rende il rischio particolarmente ampio: ogni nuovo servizio o processo che utilizza Rpc potrebbe potenzialmente introdurre ulteriori vettori di attacco.
Come spiegato da Haidar Kabibo, Application Security Specialist di Kaspersky, la variabilità dei sistemi Windows e delle componenti coinvolte nella comunicazione Rpc — tra Dll, servizi e server attivi — rende lo scenario estremamente dinamico. Questo implica che la superficie di attacco possa cambiare da sistema a sistema, aumentando la complessità delle strategie di difesa.
Gli esperti sottolineano che il problema non riguarda un bug isolato, ma un elemento strutturale dell’ecosistema Rpc, motivo per cui la valutazione del rischio e l’adozione di misure di mitigazione risultano cruciali per le organizzazioni che utilizzano infrastrutture Windows in ambienti aziendali.
