Theo Kaspersky, lỗ hổng này ảnh hưởng đến RPC (Remote Procedure Call – Gọi thủ tục từ xa), một cơ chế cốt lõi giúp các tiến trình và dịch vụ trên Windows giao tiếp với nhau.
Điểm đáng lo ngại nằm ở chỗ PhantomRPC không xuất phát từ một lỗi lập trình đơn lẻ, mà đến từ chính cách Windows được thiết kế và vận hành. Điều này khiến việc khắc phục trở nên phức tạp hơn nhiều so với các lỗ hổng thông thường.
Các chuyên gia bảo mật cho biết tin tặc có thể dựng lên một “RPC server” giả mạo để đánh lừa hệ thống. Khi một tiến trình có quyền cao như SYSTEM hoặc Administrator kết nối tới server giả, kẻ tấn công có thể đánh cắp định danh bảo mật của tiến trình đó và tự nâng quyền lên mức cao nhất.
Nếu khai thác thành công, hacker có thể chiếm quyền điều khiển máy tính, triển khai mã độc, truy cập dữ liệu hoặc mở rộng tấn công sang các hệ thống khác trong cùng mạng nội bộ.
Theo đánh giá của Kaspersky, mức độ nguy hiểm của PhantomRPC nằm ở khả năng mở ra gần như vô số kịch bản khai thác mới. Bất kỳ dịch vụ hoặc tiến trình nào sử dụng RPC đều có thể trở thành mục tiêu bị lợi dụng.
Cơ chế RPC vốn là nền tảng quan trọng của Windows, cho phép các chương trình giao tiếp và thực thi tác vụ lẫn nhau, kể cả trong môi trường riêng biệt hoặc thông qua mạng. Chính vì vậy, lỗ hổng này có phạm vi ảnh hưởng rất rộng.
Các nhà nghiên cứu cho biết đã thông báo vấn đề cho Microsoft từ tháng 9/2025. Tuy nhiên, hãng chỉ đánh giá PhantomRPC ở mức “trung bình” và hiện vẫn chưa phát hành bản vá chính thức.
Microsoft cho rằng việc khai thác lỗ hổng yêu cầu tin tặc phải sở hữu sẵn quyền giả mạo (impersonation privilege), đồng nghĩa máy tính đã bị xâm nhập từ trước. Dù vậy, Kaspersky phản bác rằng nhiều tài khoản dịch vụ phổ biến trên Windows vốn đã có đặc quyền này, khiến nguy cơ thực tế cao hơn đáng kể.
Theo cảnh báo, PhantomRPC có thể ảnh hưởng tới hầu hết phiên bản Windows hiện nay, bao gồm cả Windows Server 2022 và Windows Server 2025.
Trong lúc chờ bản vá, các chuyên gia khuyến nghị người dùng và doanh nghiệp cần thường xuyên cập nhật hệ thống, hạn chế cấp quyền Administrator không cần thiết, kiểm tra các dịch vụ RPC bất thường và tăng cường giám sát hoạt động mạng nội bộ để giảm nguy cơ bị khai thác.
