Windows Telephony 服务权限提升漏洞（CVE-2026-20931）

前言

在不断演变的网络安全领域，即使现代基础设施正在远离过时技术，Windows遗留服务中的漏洞仍继续构成重大风险。最近，Positive Technologies的研究人员发现了一个关键的远程代码执行（RCE）漏洞，该漏洞位于Windows电话服务中，称为TapiSrv。这个漏洞被追踪为CVE-2026-20931，它允许低权限攻击者在特定配置下在受影响的系统上执行任意代码。

Windows Telephony 服务权限提升漏洞（CVE-2026-20931）该漏洞源于 Windows Telephony 服务在处理 Remotesp 相关场景下的 ClientAttach RPC 调用时，未对用户可控的 Mailslot 文件路径进行充分校验。本地攻击者可通过构造恶意 RPC 请求，绕过权限限制，越权读写 Telephony 服务的配置文件，从而获得对服务配置的控制权限。攻击者随后可通过篡改服务配置使其加载恶意 DLL，在服务重启后以 SYSTEM 权限执行任意代码，最终实现本地权限提升。

理解Windows电话服务

Windows电话服务，或称为TapiSrv，是电话API（TAPI）框架的一个组件，在早期Windows版本中引入，用于支持电话应用，例如语音通话、传真和调制解调器交互。它充当应用与电话硬件或软件提供商之间的桥梁。在大多数现代设置中，TapiSrv以客户端模式运行，处理本地请求。然而，它可以配置为服务器模式，以允许远程客户端通过命名管道上的RPC连接，通常用于企业环境中的集中式电话管理，如呼叫中心或PBX系统。

这种服务器模式默认不启用，需要通过注册表或TAPI管理MMC插件显式配置。一旦激活，它会将服务暴露给远程连接，使其可以通过SMB管道访问域加入的机器。不幸的是，如果没有正确保护，这种暴露会为利用打开大门。

漏洞：任意文件写入导致RCE

CVE-2026-20931的核心在于TapiSrv在使用mailslots处理异步事件传递时的缺陷——mailslots是Windows中一种轻量级进程间通信机制。在典型流程中，远程客户端通过ClientAttach RPC方法附加到服务，指定参数如事件通知的mailslot路径。

漏洞发生在攻击者操纵ClientAttach中的pszDomainUser参数，使其指向任意可写文件路径而不是有效mailslot时。在NETWORK SERVICE账户的上下文中，服务随后将事件数据写入这个用户控制的文件。这创建了一个任意文件写入原语，攻击者可以用控制的内容覆盖现有文件，尽管是以小块（例如4字节段）进行。

利用这个原语，攻击者可以针对位于C:\Windows\TAPI的配置文件如tsec.ini。通过修改这个文件，他们可以在TAPI上下文中将权限从标准用户提升到管理员。获得提升访问权限后，攻击者可以发出GetUIDllName RPC请求来加载恶意电话服务提供商（TSP）DLL，从而在服务的上下文中执行代码。进一步提升到SYSTEM权限可以使用已知技术，从而放大攻击的影响。

这个链条需要服务处于服务器模式且启用远程访问，这限制了其在当代网络中的普遍性。尽管如此，在易受攻击的设置中，它允许未经身份验证的域用户在没有高权限的情况下实现RCE。

受影响系统和潜在影响

该漏洞主要影响Windows Server版本，其中TapiSrv配置为远程访问。Windows桌面版本不太可能受影响，因为服务器模式在那里很少使用。Microsoft已确认该问题跨越多个Windows版本，尽管补丁中处理了完整范围的精确细节。

潜在影响是严重的：成功利用可能导致系统完全 compromise、数据泄露或网络内横向移动。鉴于TAPI在安全审计中经常被忽略——特别是在与旧电话硬件集成的遗留系统中——这个漏洞可能在工业控制系统或过时的企业电话设置等特定环境中潜伏未被发现。

发现、报告和CVE分配

Positive Technologies的研究人员在分析Windows服务期间发现了这个漏洞。它于2025年11月6日负责任地披露给Microsoft。经过验证，Microsoft于2025年12月29日分配了CVE-2026-20931，并向研究人员颁发了5000美元的赏金。该漏洞作为2026年1月补丁星期二更新的一部分于2026年1月13日被修补。

Microsoft的安全公告提供了更详细的更新信息，强调在受影响配置中立即打补丁的必要性。

缓解措施和建议

为了缓解CVE-2026-20931：

• 应用补丁：立即安装Microsoft的2026年1月安全更新。
• 禁用服务器模式：如果不需要TAPI服务器功能，通过注册表键HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony\Server\DisableSharing或TapiMgmt.msc插件禁用它。这将完全防止远程连接。
• 网络分段：限制对命名管道上RPC接口的访问，确保只有可信客户端可以连接。
• 监控和审计：定期审计遗留服务如TapiSrv的不寻常配置，并监控异常文件写入或DLL加载。
• 最小权限原则：确保域账户具有最小访问权限，即使启用服务器模式，也能减少攻击面。

组织还应进行漏洞扫描，以识别网络中是否在服务器模式下运行TapiSrv。鉴于这种配置在现代IT中的稀有性，整体风险较低，但对于依赖遗留电话集成的组织来说，警惕是关键。

结论

CVE-2026-20931提醒我们，即使是晦涩的Windows组件也可能隐藏关键漏洞，尤其是当远程暴露时。虽然利用需要特定条件，但其发现强调了定期安全评估和及时打补丁的重要性。通过理解和解决此类漏洞，防御者可以在日益复杂的数字生态系统中保持领先。欲了解更多技术洞见，请参考Positive Technologies的原始分析。

https://swarm.ptsecurity.com/whos-on-the-line-exploiting-rce-in-windows-telephony-service/ https://habr.com/ru/companies/pt/articles/984934/

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露