Sicherheitsforscher haben eine schwerwiegende Schwachstelle im Windows Remote Procedure Call (RPC) entdeckt – doch Microsoft weigert sich, sie zu schließen. Die als PhantomRPC bekannte Lücke erlaubt Angreifern, ihre Systemrechte auf die höchste Ebene (SYSTEM) auszuweiten. Betroffen sind alle unterstützten Windows-Versionen, darunter Windows 10, Windows 11 und Windows Server (2012 bis 2025). Experten warnen vor einem architektonischen Risiko, das Angreifern dauerhaft als Werkzeug dient.
Technische Details: Wie PhantomRPC funktioniert
Entdeckt wurde die Schwachstelle von Haidar Kabibo, einem Forscher bei Kaspersky. Im Kern nutzt PhantomRPC aus, wie Windows RPC-Anfragen verarbeitet. Ein Angreifer, der bereits über bestimmte Rechte verfügt, kann diese auf SYSTEM-Niveau anheben. Voraussetzung ist das SeImpersonatePrivilege – ein Recht, das in Windows-Umgebungen oft Dienstkonten und nicht Standardnutzern vorbehalten ist. Genau diese Konten sind jedoch ein beliebtes Ziel für Angreifer, die sich seitlich im Netzwerk bewegen oder ihre Kontrolle über ein kompromittiertes System ausbauen wollen.
Wenn kritische Schwachstellen oder fehlerhafte Updates das System instabil machen, ist schnelle Hilfe gefragt. Dieser kostenlose Report zeigt Ihnen Schritt für Schritt, wie Sie einen Windows-11-Boot-Stick zur Rettung und Neuinstallation erstellen. Gratis-Anleitung für Ihren Windows 11 Boot-Stick sichern
Sicherheitsanalysten von Malwarebytes und anderen Firmen zeigen sich besorgt: Da RPC eine grundlegende Komponente der Windows-Kommunikation ist, bleibt diese Schwachstelle ein permanentes Werkzeug für Angreifer, die bereits einen Fuß in der Tür haben. Die gesamte moderne Windows-Welt ist betroffen – ein breites Angriffsfeld für jede Umgebung, in der die Sicherheit von Dienstkonten nicht streng überwacht wird.
Microsofts umstrittene Risikobewertung
Microsoft stuft PhantomRPC als moderates Risiko ein – und verzichtet deshalb auf einen Sicherheitspatch. Die Begründung: Ein Angreifer müsse bereits Zugriff auf ein System und bestimmte Rechte haben. Aus Sicht des Konzerns handelt es sich eher um ein Designmerkmal als um einen dringend zu behebenden Fehler.
Diese Haltung stößt in der Sicherheitsbranche auf heftige Kritik. „Das ist operativ fahrlässig“, urteilen Analysten. Denn die Ausweitung von Rechten sei eine kritische Phase im modernen Angriffszyklus. Wie leicht ein Angreifer nach einem Einbruch SYSTEM-Rechte erlangt, entscheidet oft über die Schwere des Vorfalls. Indem Microsoft den PhantomRPC-Pfad offen lässt, hilft es Angreifern faktisch dabei, die letzten Schritte einer vollständigen Systemübernahme zu automatisieren.
CISA erhöht den Druck: Neue Schwachstelle im KEV-Katalog
Während Microsoft bei PhantomRPC hart bleibt, erhalten andere Windows-Lücken höchste Priorität. Am 29. April 2026 hat die US-Cybersicherheitsbehörde CISA die Schwachstelle CVE-2026-32202 in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen. Bundesbehörden müssen die Korrektur bis zum 12. Mai 2026 einspielen.
Die Schwachstelle im Windows Shell ist ein Zero-Click-Fehler, der den Diebstahl von NTLMv2-Hashes ermöglicht. Besonders brisant: Sie entstand, weil ein früheres Update vom Februar 2026 unvollständig war. Der ursprüngliche Patch stoppte zwar die Remote-Code-Ausführung, ließ aber eine Lücke für einen Credential-Leak – ausgelöst allein durch das Anzeigen eines Ordners mit einer manipulierten LNK-Datei.
Diese NTLM-Lücke wird bereits von Advanced Persistent Threat (APT)-Gruppen ausgenutzt. Der russische Gruppe APT28 (auch bekannt als Fancy Bear) nutzte die zugrundeliegende Angriffskette bereits im Dezember 2025 in Kampagnen gegen Ziele in der EU und der Ukraine. Die Gruppe setzte manipulierte LNK-Dateien ein, um Systeme zur Übermittlung von NTLM-Hashes über das SMB-Protokoll zu zwingen – und nutzte diese dann für sogenannte Pass-the-Hash-Angriffe.
Branchentrend: KI beschleunigt die Jagd nach Schwachstellen
Die Debatte um PhantomRPC falls in eine Zeit des Umbruchs. Am 29. April 2026 kündigte CrowdStrike mit Project QuiltWorks eine neue Koalition an, der auch IBM, Accenture, EY und OpenAI angehören. Ziel ist es, die „explosionsartig“ steigende Zahl von Schwachstellen zu bewältigen, die durch den Einsatz Künstlicher Intelligenz entdeckt werden. Ein neuer KI-Bereitschaftsdienst soll Unternehmen helfen, Risiken schneller zu bewerten und zu beheben.
Diese Entwicklung wurde in aktuellen Briefings vor dem US-Repräsentantenhaus untermauert. Vertreter von OpenAI und Anthropic berichteten, dass neuere KI-Modelle deutlich besser darin geworden seien, Schwachstellen in Legacy-Code zu finden und Exploits zu entwickeln. Das Anthropic-Modell Mythos etwa verkürze das „Time-to-Exploit“-Fenster massiv – und schaffe so „Angriffsfabriken“, die herkömmliche manuelle Patch-Zyklen überfordern.
Analyse: Der Konflikt zwischen Stabilität und Sicherheit
Die Weigerung, PhantomRPC zu patchen, zeigt den grundlegenden Zielkonflikt zwischen Softwareherstellern und Sicherheitsverantwortlichen. Jeder Patch birgt das Risiko, bestehende Funktionen zu stören oder Systeminstabilitäten zu verursachen. Erst kürzlich sorgte das April-Update KB5083769 für Windows 11 für Schlagzeilen: Nutzer berichteten von Bootschleifen auf bestimmter Hardware von Dell und HP. Microsoft spielte die Berichte herunter, doch die Angst vor „Update-Müdigkeit“ und Betriebsunterbrechungen führt oft zu einer zurückhaltenden Patch-Politik bei moderaten Risiken.
Für Unternehmens-Administratoren bedeutet das: Die Anhäufung „moderater“ Schwachstellen schafft ein kumuliertes Risiko. Liegen mehrere ungepatchte Lücken auf einem System, können Angreifer sie zu einer Angriffskette verbinden – und so Ergebnisse erzielen, die keine einzelne Schwachstelle allein ermöglicht hätte. PhantomRPC mag nicht der Einstiegspunkt sein, aber es bleibt ein zuverlässiges Werkzeug für die „letzte Meile“ zur vollständigen Systemkontrolle.
Angesichts ungelöster Sicherheitslücken und problematischer Zwangs-Updates suchen immer mehr PC-Nutzer nach verlässlichen Alternativen zum klassischen Windows. Mit diesem kostenlosen Startpaket testen Sie Ubuntu Linux völlig risikofrei parallel zu Ihrem bestehenden System und gewinnen spürbar mehr Stabilität zurück. Kostenloses Linux-Startpaket inklusive Ubuntu-Vollversion anfordern
Handlungsempfehlungen für Unternehmen
Bis Microsoft seine Position überdenkt, raten Sicherheitsexperten zu sekundären Schutzmaßnahmen:
– Strenge Kontrolle der Vergabe des SeImpersonatePrivilege-Rechts
– Überwachung auf unbefugte Versuche, Rechte innerhalb von RPC-Diensten auszuweiten
– Anpassung der Speicher- und Verteilungsstrategien für Windows-Updates, die mittlerweile bis zu 5 GB für kumulative Pakete erreichen
Der Ausblick ist ernüchternd: Mit Gruppen wie Vect, die Ransomware-as-a-Service mit maßgeschneiderten Verschlüsselern für Windows und Linux anbieten, und staatlich gesteuerten Akteuren wie APT28, die weiterhin NTLM-Schwachstellen ausnutzen, schrumpft der Spielraum für Fehler im Schwachstellenmanagement. Der Druck auf große Hersteller, eine aggressivere Patch-Politik zu fahren, wird 2026 weiter zunehmen – nicht zuletzt durch die Beschleunigung KI-gestützter Angriffe.
