Windows Telephony 服务权限提升漏洞(CVE-2026-20931) 📅 发布时间:2026/7/4 16:33:50 👁️ 浏览次数: 前言在不断演变的网络安全领域即使现代基础设施正在远离过时技术Windows遗留服务中的漏洞仍继续构成重大风险。最近Positive Technologies的研究人员发现了一个关键的远程代码执行RCE漏洞该漏洞位于Windows电话服务中称为TapiSrv。这个漏洞被追踪为CVE-2026-20931它允许低权限攻击者在特定配置下在受影响的系统上执行任意代码。Windows Telephony 服务权限提升漏洞CVE-2026-20931该漏洞源于 Windows Telephony 服务在处理 Remotesp 相关场景下的 ClientAttach RPC 调用时未对用户可控的 Mailslot 文件路径进行充分校验。本地攻击者可通过构造恶意 RPC 请求绕过权限限制越权读写 Telephony 服务的配置文件从而获得对服务配置的控制权限。攻击者随后可通过篡改服务配置使其加载恶意 DLL在服务重启后以 SYSTEM 权限执行任意代码最终实现本地权限提升。理解Windows电话服务Windows电话服务或称为TapiSrv是电话APITAPI框架的一个组件在早期Windows版本中引入用于支持电话应用例如语音通话、传真和调制解调器交互。它充当应用与电话硬件或软件提供商之间的桥梁。在大多数现代设置中TapiSrv以客户端模式运行处理本地请求。然而它可以配置为服务器模式以允许远程客户端通过命名管道上的RPC连接通常用于企业环境中的集中式电话管理如呼叫中心或PBX系统。这种服务器模式默认不启用需要通过注册表或TAPI管理MMC插件显式配置。一旦激活它会将服务暴露给远程连接使其可以通过SMB管道访问域加入的机器。不幸的是如果没有正确保护这种暴露会为利用打开大门。漏洞任意文件写入导致RCECVE-2026-20931的核心在于TapiSrv在使用mailslots处理异步事件传递时的缺陷——mailslots是Windows中一种轻量级进程间通信机制。在典型流程中远程客户端通过ClientAttach RPC方法附加到服务指定参数如事件通知的mailslot路径。漏洞发生在攻击者操纵ClientAttach中的pszDomainUser参数使其指向任意可写文件路径而不是有效mailslot时。在NETWORK SERVICE账户的上下文中服务随后将事件数据写入这个用户控制的文件。这创建了一个任意文件写入原语攻击者可以用控制的内容覆盖现有文件尽管是以小块例如4字节段进行。利用这个原语攻击者可以针对位于C:\Windows\TAPI的配置文件如tsec.ini。通过修改这个文件他们可以在TAPI上下文中将权限从标准用户提升到管理员。获得提升访问权限后攻击者可以发出GetUIDllName RPC请求来加载恶意电话服务提供商TSPDLL从而在服务的上下文中执行代码。进一步提升到SYSTEM权限可以使用已知技术从而放大攻击的影响。这个链条需要服务处于服务器模式且启用远程访问这限制了其在当代网络中的普遍性。尽管如此在易受攻击的设置中它允许未经身份验证的域用户在没有高权限的情况下实现RCE。受影响系统和潜在影响该漏洞主要影响Windows Server版本其中TapiSrv配置为远程访问。Windows桌面版本不太可能受影响因为服务器模式在那里很少使用。Microsoft已确认该问题跨越多个Windows版本尽管补丁中处理了完整范围的精确细节。潜在影响是严重的成功利用可能导致系统完全 compromise、数据泄露或网络内横向移动。鉴于TAPI在安全审计中经常被忽略——特别是在与旧电话硬件集成的遗留系统中——这个漏洞可能在工业控制系统或过时的企业电话设置等特定环境中潜伏未被发现。发现、报告和CVE分配Positive Technologies的研究人员在分析Windows服务期间发现了这个漏洞。它于2025年11月6日负责任地披露给Microsoft。经过验证Microsoft于2025年12月29日分配了CVE-2026-20931并向研究人员颁发了5000美元的赏金。该漏洞作为2026年1月补丁星期二更新的一部分于2026年1月13日被修补。Microsoft的安全公告提供了更详细的更新信息强调在受影响配置中立即打补丁的必要性。缓解措施和建议为了缓解CVE-2026-20931应用补丁立即安装Microsoft的2026年1月安全更新。禁用服务器模式如果不需要TAPI服务器功能通过注册表键HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony\Server\DisableSharing或TapiMgmt.msc插件禁用它。这将完全防止远程连接。网络分段限制对命名管道上RPC接口的访问确保只有可信客户端可以连接。监控和审计定期审计遗留服务如TapiSrv的不寻常配置并监控异常文件写入或DLL加载。最小权限原则确保域账户具有最小访问权限即使启用服务器模式也能减少攻击面。组织还应进行漏洞扫描以识别网络中是否在服务器模式下运行TapiSrv。鉴于这种配置在现代IT中的稀有性整体风险较低但对于依赖遗留电话集成的组织来说警惕是关键。结论CVE-2026-20931提醒我们即使是晦涩的Windows组件也可能隐藏关键漏洞尤其是当远程暴露时。虽然利用需要特定条件但其发现强调了定期安全评估和及时打补丁的重要性。通过理解和解决此类漏洞防御者可以在日益复杂的数字生态系统中保持领先。欲了解更多技术洞见请参考Positive Technologies的原始分析。https://swarm.ptsecurity.com/whos-on-the-line-exploiting-rce-in-windows-telephony-service/ https://habr.com/ru/companies/pt/articles/984934/网络安全情报攻防站www.libaisec.com综合性的技术交流与资源共享社区专注于红蓝对抗、攻防渗透、威胁情报、数据泄露
煤矿场景下传送带锚杆大块煤识别检测数据集VOC+YOLO格式2220张2类别 数据集格式:Pascal VOC格式YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件)图片数量(jpg文件个数):2220标注数量(xml文件个数):2220标注数量(txt文件个数):2220标注类别… 2026/7/5 13:53:15
互联网企业招聘程序员为什么都看重高并发经验? 不知道大家最近去面试过没有?有去面试过的小伙伴应该会知道现在互联网企业招聘对于“高并发”这块的考察可以说是越来越注重了。基本上你简历上有高并发相关经验,就能成为企业优先考虑的候选人。其原因在于,企业真正需要的是能独立解决问题的… 2026/7/5 13:52:46
互联网大厂Java岗面试真题汇总(2026版) 现在互联网大环境不好,互联网公司纷纷裁员并缩减HC,更多程序员去竞争更少的就业岗位,整的IT行业越来越卷。身为Java程序员的我们就更不用说了,上班8小时需要做好本职工作,下班后还要不断提升技能、技术栈,才… 2026/7/3 16:43:59
小样本学习实战:数据增强与模型优化策略 1. 小样本学习的困境与破局思路当数据量只有常规数据集的1%甚至更少时,我们往往会陷入"巧妇难为无米之炊"的困境。去年接手的一个工业缺陷检测项目让我深有体会——客户只能提供200张带标注的样本图片,而常规深度学习方案至少需要2万张。这种场… 2026/7/5 13:54:14
MC6470与STM32F423RH在6DOF运动控制中的优化实践 1. MC6470与STM32F423RH的黄金组合解析在工业控制和定位领域,6DOF(六自由度)IMU(惯性测量单元)与高性能MCU的搭配一直是实现精准运动感知的核心方案。MC6470作为新一代边缘AI智能IMU,与STM32F423RH这款带硬… 2026/7/5 13:52:14
内向者和别人聊天缺少共同话题的庖丁解牛 两个人的“信息世界模型重叠度低 话题生成机制不一致”所以才会出现“聊不起来”。 一、第一刀:什么叫“共同话题”? 不是“都知道的东西”,而是:双方都能继续延展的信息节点✔ 真正的共同话题结构: A的经验 B的经验… 2026/7/5 13:52:14
Web安全实战:密码重置逻辑漏洞分析与防御指南 1. 项目概述:一次真实的Web安全实战复盘最近在墨者靶场里折腾那个“登录密码重置漏洞分析溯源”的关卡,感触挺深的。这关卡的设置非常贴近真实业务场景,它模拟了一个典型的用户密码找回功能,但里面埋了几个在开发中极其容易忽视的… 2026/7/5 13:50:14
建站工具测评:BBWEYY/比文云/Framer/Make/Brevo(2026年7月更新)含零代码SAAS、AI编程、源码定制交付 一、六个建站工具总表品牌建站方式适合谁价格BBWEYY全域全端全行业的AISAAS工具覆盖5000行业包括零售、工厂、外贸、教培行业本地生活,特别适合中小企业、工厂、商贸公司、外贸企业、教培机构和多行业经营项目。700元-3000元一年,买3送3年,年… 2026/7/5 13:50:13
Claude Code 的 Plan 审批流,真正的安全感来自动手前那一次认真确认 把 Claude Code 放进真实项目里用,最怕的不是它慢,而是它太快。 一个老项目里,认证模块连着用户表、权限缓存、审计日志、前端路由守卫、CI 脚本和一堆历史兼容逻辑。需求看起来只是「调整登录态刷新逻辑」,但 Claude Code 一旦直接进入编辑状态,很可能会先改 auth.ts,再… 2026/7/5 13:48:13
6个月转型AI工程师:实战路径与核心技能 1. 项目概述:6个月转型AI工程师的可行性路径在2023年大模型技术爆发的背景下,AI工程师岗位需求同比增长217%(LinkedIn数据)。不同于传统算法工程师需要3-5年培养周期,现代AI工程师更侧重工程化落地能力。我在硅谷科技公… 2026/7/5 0:01:32
TPAFE0808与PIC18F87K22的多通道信号采集方案 1. 项目背景与核心需求在工业自动化、医疗设备和科研仪器等领域,多通道信号采集与系统监测是基础且关键的技术需求。传统方案往往面临通道数量不足、信号调理复杂、系统集成度低等问题。TPAFE0808作为一款8通道模拟前端芯片,与PIC18F87K22微控制器的组合… 2026/7/5 0:01:32
STC3115与PIC18LF26K80构建高精度电池管理系统 1. STC3115与PIC18LF26K80在电池管理系统中的核心价值在现代电子设备中,电池管理系统(BMS)的重要性不亚于设备的核心处理器。STC3115作为一款高精度电池电量监测IC,与PIC18LF26K80微控制器的组合,构成了一个既能精确监控又能智能管理的完整解… 2026/7/5 0:05:36
6个月转型AI工程师:实战路径与核心技能 1. 项目概述:6个月转型AI工程师的可行性路径在2023年大模型技术爆发的背景下,AI工程师岗位需求同比增长217%(LinkedIn数据)。不同于传统算法工程师需要3-5年培养周期,现代AI工程师更侧重工程化落地能力。我在硅谷科技公… 2026/7/5 0:01:32
TPAFE0808与PIC18F87K22的多通道信号采集方案 1. 项目背景与核心需求在工业自动化、医疗设备和科研仪器等领域,多通道信号采集与系统监测是基础且关键的技术需求。传统方案往往面临通道数量不足、信号调理复杂、系统集成度低等问题。TPAFE0808作为一款8通道模拟前端芯片,与PIC18F87K22微控制器的组合… 2026/7/5 0:01:32
STC3115与PIC18LF26K80构建高精度电池管理系统 1. STC3115与PIC18LF26K80在电池管理系统中的核心价值在现代电子设备中,电池管理系统(BMS)的重要性不亚于设备的核心处理器。STC3115作为一款高精度电池电量监测IC,与PIC18LF26K80微控制器的组合,构成了一个既能精确监控又能智能管理的完整解… 2026/7/5 0:05:36