2026-01-23 11:06:50 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： CVE-2026-20931源于WindowsTelephony服务在Remotesp场景处理ClientAttachRPC时未校验用户可控Mailslot路径，低权攻击者可写入任意文件并篡改tsec.ini配置，随后通过加载恶意DLL实现SYSTEM级本地权限提升；漏洞需服务器模式启用、已获补丁，建议立即更新或禁用TapiSrv服务器功能并收紧RPC访问。 综合评分： 87 文章分类： 漏洞分析,权限提升,Windows安全,漏洞预警,远程代码执行

cover_image

Windows Telephony 服务权限提升漏洞（CVE-2026-20931）

原创

助力行业的助力行业的

李白你好

2026年1月22日 08:00 福建

前言

在不断演变的网络安全领域，即使现代基础设施正在远离过时技术，Windows遗留服务中的漏洞仍继续构成重大风险。最近，Positive Technologies的研究人员发现了一个关键的远程代码执行（RCE）漏洞，该漏洞位于Windows电话服务中，称为TapiSrv。这个漏洞被追踪为CVE-2026-20931，它允许低权限攻击者在特定配置下在受影响的系统上执行任意代码。

Windows Telephony 服务权限提升漏洞（CVE-2026-20931）该漏洞源于 Windows Telephony 服务在处理 Remotesp 相关场景下的 ClientAttach RPC 调用时，未对用户可控的 Mailslot 文件路径进行充分校验。本地攻击者可通过构造恶意 RPC 请求，绕过权限限制，越权读写 Telephony 服务的配置文件，从而获得对服务配置的控制权限。攻击者随后可通过篡改服务配置使其加载恶意 DLL，在服务重启后以 SYSTEM 权限执行任意代码，最终实现本地权限提升。

理解Windows电话服务

Windows电话服务，或称为TapiSrv，是电话API（TAPI）框架的一个组件，在早期Windows版本中引入，用于支持电话应用，例如语音通话、传真和调制解调器交互。它充当应用与电话硬件或软件提供商之间的桥梁。在大多数现代设置中，TapiSrv以客户端模式运行，处理本地请求。然而，它可以配置为服务器模式，以允许远程客户端通过命名管道上的RPC连接，通常用于企业环境中的集中式电话管理，如呼叫中心或PBX系统。

这种服务器模式默认不启用，需要通过注册表或TAPI管理MMC插件显式配置。一旦激活，它会将服务暴露给远程连接，使其可以通过SMB管道访问域加入的机器。不幸的是，如果没有正确保护，这种暴露会为利用打开大门。

漏洞：任意文件写入导致RCE

CVE-2026-20931的核心在于TapiSrv在使用mailslots处理异步事件传递时的缺陷——mailslots是Windows中一种轻量级进程间通信机制。在典型流程中，远程客户端通过ClientAttach RPC方法附加到服务，指定参数如事件通知的mailslot路径。

漏洞发生在攻击者操纵ClientAttach中的pszDomainUser参数，使其指向任意可写文件路径而不是有效mailslot时。在NETWORK SERVICE账户的上下文中，服务随后将事件数据写入这个用户控制的文件。这创建了一个任意文件写入原语，攻击者可以用控制的内容覆盖现有文件，尽管是以小块（例如4字节段）进行。

利用这个原语，攻击者可以针对位于C:\Windows\TAPI的配置文件如tsec.ini。通过修改这个文件，他们可以在TAPI上下文中将权限从标准用户提升到管理员。获得提升访问权限后，攻击者可以发出GetUIDllName RPC请求来加载恶意电话服务提供商（TSP）DLL，从而在服务的上下文中执行代码。进一步提升到SYSTEM权限可以使用已知技术，从而放大攻击的影响。

这个链条需要服务处于服务器模式且启用远程访问，这限制了其在当代网络中的普遍性。尽管如此，在易受攻击的设置中，它允许未经身份验证的域用户在没有高权限的情况下实现RCE。

已关注

关注

重播分享赞

关闭

观看更多

退出全屏

切换到竖屏全屏退出全屏

李白你好已关注

分享视频

，时长00:10

0/0

00:00/00:10

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

00:10

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清流畅

您的浏览器不支持 video 标签

继续观看

Windows Telephony 服务权限提升漏洞（CVE-2026-20931）

观看更多

转载

Windows Telephony 服务权限提升漏洞（CVE-2026-20931）

李白你好已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

受影响系统和潜在影响

该漏洞主要影响Windows Server版本，其中TapiSrv配置为远程访问。Windows桌面版本不太可能受影响，因为服务器模式在那里很少使用。Microsoft已确认该问题跨越多个Windows版本，尽管补丁中处理了完整范围的精确细节。

潜在影响是严重的：成功利用可能导致系统完全 compromise、数据泄露或网络内横向移动。鉴于TAPI在安全审计中经常被忽略——特别是在与旧电话硬件集成的遗留系统中——这个漏洞可能在工业控制系统或过时的企业电话设置等特定环境中潜伏未被发现。

发现、报告和CVE分配

Positive Technologies的研究人员在分析Windows服务期间发现了这个漏洞。它于2025年11月6日负责任地披露给Microsoft。经过验证，Microsoft于2025年12月29日分配了CVE-2026-20931，并向研究人员颁发了5000美元的赏金。该漏洞作为2026年1月补丁星期二更新的一部分于2026年1月13日被修补。

Microsoft的安全公告提供了更详细的更新信息，强调在受影响配置中立即打补丁的必要性。

缓解措施和建议

为了缓解CVE-2026-20931：

应用补丁：立即安装Microsoft的2026年1月安全更新。
禁用服务器模式：如果不需要TAPI服务器功能，通过注册表键HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony\Server\DisableSharing或TapiMgmt.msc插件禁用它。这将完全防止远程连接。
网络分段：限制对命名管道上RPC接口的访问，确保只有可信客户端可以连接。
监控和审计：定期审计遗留服务如TapiSrv的不寻常配置，并监控异常文件写入或DLL加载。
最小权限原则：确保域账户具有最小访问权限，即使启用服务器模式，也能减少攻击面。

组织还应进行漏洞扫描，以识别网络中是否在服务器模式下运行TapiSrv。鉴于这种配置在现代IT中的稀有性，整体风险较低，但对于依赖遗留电话集成的组织来说，警惕是关键。

结论

CVE-2026-20931提醒我们，即使是晦涩的Windows组件也可能隐藏关键漏洞，尤其是当远程暴露时。虽然利用需要特定条件，但其发现强调了定期安全评估和及时打补丁的重要性。通过理解和解决此类漏洞，防御者可以在日益复杂的数字生态系统中保持领先。欲了解更多技术洞见，请参考Positive Technologies的原始分析。

https://swarm.ptsecurity.com/whos-on-the-line-exploiting-rce-in-windows-telephony-service/
https://habr.com/ru/companies/pt/articles/984934/

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：李白你好助力行业的助力行业的《Windows Telephony 服务权限提升漏洞（CVE-2026-20931）》