Eine schwerwiegende Architekturschwachstelle im Windows Remote Procedure Call (RPC)-Framework gefährdet alle aktuellen Windows-Versionen – doch Microsoft stuft das Problem als „Design-Entscheidung“ ein.
Der Sicherheitsforscher Haidar Kabibo von Kaspersky präsentierte die als „PhantomRPC“ bezeichnete Schwachstelle am 24. April auf der Black-Hat-Asia-Konferenz. Die Lücke erlaubt Angreifern, lokale oder Netzwerkdienst-Privilegien auf vollständige SYSTEM-Rechte auszuweiten. Betroffen sind sämtliche Windows-Versionen, inklusive Windows Server 2022 und 2025. Microsoft sieht darin jedoch kein klassisches Sicherheitsproblem, sondern lediglich ein moderates Risiko.
Wenn Windows-Updates wie aktuell zu Boot-Schleifen führen, ist ein vorbereiteter Notfall-Stick oft die letzte Rettung für das System. Dieser kostenlose Report erklärt Schritt für Schritt, wie Sie einen Windows-11-USB-Stick erstellen und im Ernstfall richtig einsetzen. Windows-11-USB-Stick erstellen und PC retten
Die technische Funktionsweise von PhantomRPC
Die Schwachstelle sitzt in der RPC-Laufzeitbibliothek rpcrt4.dll. Kabibo entdeckte, dass Angreifer sogenannte „Phantom“-Endpunkte registrieren können, wenn ein legitimer Dienst, der normalerweise einen bestimmten RPC-Endpunkt hostet, gerade nicht aktiv ist. Verfügt der Angreifer über SeImpersonatePrivilege, kann er privilegierte Aufrufe abfangen und die Identität des aufrufenden Prozesses annehmen – mit verheerenden Folgen.
Kaspersky identifizierte fünf konkrete Angriffspfade, die gängige Windows-Komponenten ausnutzen:
– gpupdate (Gruppenrichtlinien-Update)
– Microsoft Edge
– Windows Diagnostic Infrastructure (WDI)
– DHCP-Client
– Windows Time Service (w32tm)
Da diese Dienste integraler Bestandteil von Windows sind, eröffnen sich Angreifern zahlreiche Wege, einen inaktiven Dienst zu finden und einen betrügerischen Endpunkt zu etablieren.
Microsofts kontroverse Einstufung
Bereits im September 2024 informierte Kaspersky Microsoft über die Schwachstelle. Doch der Konzern verzichtet bewusst auf eine CVE-Kennzeichnung (Common Vulnerabilities and Exposures). Die Begründung: Die Lücke sei „by design“ und erfordere bereits vorhandene Privilegien wie SeImpersonatePrivilege, die normalerweise Dienstkonten vorbehalten seien.
Diese Einschätzung stößt in der Sicherheitscommunity auf Kritik. Kompromittierte Dienstkonten gelten als häufige Einstiegspunkte für größere Netzwerkangriffe. Da kein Patch geplant ist, müssen IT-Sicherheitsteams selbst aktiv werden. Experten empfehlen:
- Event Tracing for Windows (ETW) zur Überwachung ungewöhnlicher RPC-Endpunkt-Registrierungen
- Strikte Einschränkung von
SeImpersonatePrivilegeauf wirklich notwendige Dienste - Aktivhalten legitimer Dienste, um Phantom-Registrierungen zu verhindern
Microsofts Haltung fällt in eine Zeit, in der das National Institute of Standards and Technology (NIST) seine CVE-Datenanreicherung in der National Vulnerability Database (NVD) zurückgefahren hat. 2025 wurden über 40.000 CVEs erfasst – viele davon durch KI-gestützte Entdeckungstools. Unternehmen sind zunehmend auf private Schwachstellen-Intelligenz und behördliche Warnungen wie den KEV-Katalog (Known Exploited Vulnerabilities) der US-Cybersicherheitsbehörde CISA angewiesen.
Weitere Sicherheitsprobleme im Windows-Ökosystem
PhantomRPC ist nicht die einzige Baustelle für Microsoft im April 2026. CISA warnte kürzlich dringend vor einer separaten Zero-Day-Lücke in Microsoft Defender namens „BlueHammer“ (CVE-2026-33825). Mit einem CVSS-Score von 7,8 wird sie aktiv für lokale Privilegienausweitung ausgenutzt. Sicherheitsfirmen wie Huntress Labs bestätigten die Angriffe. Bundesbehörden müssen ihre Systeme bis zum 6. Mai 2026 absichern.
Parallel dazu sorgt das Windows-11-April-Update (KB5083769) für erhebliche Probleme in Unternehmen. Berichten zufolge löst es BitLocker-Wiederherstellungsbildschirme und Boot-Schleifen aus – besonders auf HP- und Dell-Systemen mit aktuellen Windows-11-Versionen. Ursache scheint ein Konflikt zwischen Secure-Boot-Konfigurationen und nicht standardmäßigen BitLocker-Gruppenrichtlinien zu sein. Microsoft hat die Fehler eingeräumt und arbeitet an einem dauerhaften Fix.
Statt bei jedem neuen Update-Fehler oder Systemproblem auf teure externe IT-Hilfe angewiesen zu sein, können Anwender viele Störungen mit dem richtigen Expertenwissen selbst beheben. Erfahren Sie in diesem Gratis-Report, wie Sie typische Windows-11-Hürden in wenigen Minuten souverän und eigenständig meistern. Kostenlosen Windows-11-Reparatur-Guide sichern
Diese Störungen kommen zu einem kritischen Zeitpunkt. Die ursprünglichen Secure-Boot-Zertifikate von 2011 laufen im Juni 2026 aus. Geräte, die nicht auf die neueren Zertifikate von 2023 aktualisiert werden, verlieren wichtige Boot-Schutzmaßnahmen. Microsoft Defender bietet neue Überwachungstools, um den Zertifikatsstatus von Geräten zu kategorisieren und Administratoren bei der Identifizierung gefährdeter Systeme zu helfen.
Strategische Perspektive für Unternehmens-IT
Die Kombination aus ungepatchten Architekturlücken wie PhantomRPC und aktiven Zero-Day-Exploits wie BlueHammer schafft ein volatiles Umfeld für Unternehmens-IT-Abteilungen. Die anhaltenden globalen Service-Störungen – etwa die Outlook- und Microsoft-365-Ausfälle vom 27. April 2026 – erschweren die Lage zusätzlich. Administratoren müssen zwischen sofortiger Serviceverfügbarkeit und langfristiger Sicherheitshärtung abwägen. Der Outlook-Ausfall, der Login- und Synchronisationsfehler auf iOS, Android und im Web verursachte, wurde auf eine Backend-Konfigurationsänderung zurückgeführt, die zurückgesetzt werden musste.
Seit April 2026 erlaubt Microsoft Nutzern, obligatorische Updates unbegrenzt zu pausieren. Diese Änderung adressiert zwar langjährige Beschwerden über erzwungene Neustarts, verlängert aber auch das Zeitfenster für Angriffe auf ungepatchte Systeme. Branchenbeobachter warnen: Jeder Tag, an dem eine bekannte Schwachstelle unadressiert bleibt, erhöht das Risiko eines weitreichenden Incidents.
Für die kommenden Wochen empfehlen Sicherheitsexperten, die von CISA vorgeschriebenen Patches für Defender zu priorisieren und gleichzeitig die manuellen Absicherungen für PhantomRPC umzusetzen. Angesichts der bevorstehenden Secure-Boot-Zertifikats-Frist im Juni 2026 wird der Fokus darauf liegen, die grundlegenden Vertrauensmechanismen der Windows-Hardware intakt zu halten. In einer Ära, in der Schwachstellen-Intelligenz-Firmen deutlich mehr „in freier Wildbahn ausgenutzte“ Lücken identifizieren als offizielle Regierungsdatenbanken – einige Firmen zählten 1.924 solcher Schwachstellen gegenüber 1.569 im CISA-KEV – bleibt proaktive interne Überwachung die primäre Verteidigungslinie.
