NtAlpcOpenSenderThread
Ayudante del lado servidor que abre un HANDLE al hilo que envió un mensaje ALPC dado.
Prototipo
NTSTATUS NtAlpcOpenSenderThread( PHANDLE ThreadHandle, HANDLE PortHandle, PPORT_MESSAGE PortMessage, ULONG Flags, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes );
Argumentos
| Name | Type | Dir | Description |
|---|---|---|---|
| ThreadHandle | PHANDLE | out | Recibe un HANDLE al objeto ETHREAD del remitente, abierto con DesiredAccess. |
| PortHandle | HANDLE | in | Handle al puerto de comunicación ALPC del servidor que recibió el mensaje. |
| PortMessage | PPORT_MESSAGE | in | El PORT_MESSAGE recién devuelto por NtAlpcSendWaitReceivePort; su ClientId.UniqueThread identifica al hilo remitente. |
| Flags | ULONG | in | Banderas reservadas / contextuales. Típicamente 0. |
| DesiredAccess | ACCESS_MASK | in | Máscara de acceso para el handle devuelto (p. ej. THREAD_QUERY_LIMITED_INFORMATION para identidad, THREAD_GET_CONTEXT para inspección de pila). |
| ObjectAttributes | POBJECT_ATTRIBUTES | in | Bloque de atributos de objeto (normalmente sólo flags de herencia). Puede ser NULL. |
IDs de syscalls por versión de Windows
| Versión de Windows | ID de syscall | Build |
|---|---|---|
| Win10 1507 | 0x84 | win10-1507 |
| Win10 1607 | 0x84 | win10-1607 |
| Win10 1703 | 0x85 | win10-1703 |
| Win10 1709 | 0x85 | win10-1709 |
| Win10 1803 | 0x86 | win10-1803 |
| Win10 1809 | 0x86 | win10-1809 |
| Win10 1903 | 0x86 | win10-1903 |
| Win10 1909 | 0x86 | win10-1909 |
| Win10 2004 | 0x88 | win10-2004 |
| Win10 20H2 | 0x88 | win10-20h2 |
| Win10 21H1 | 0x88 | win10-21h1 |
| Win10 21H2 | 0x88 | win10-21h2 |
| Win10 22H2 | 0x88 | win10-22h2 |
| Win11 21H2 | 0x88 | win11-21h2 |
| Win11 22H2 | 0x88 | win11-22h2 |
| Win11 23H2 | 0x88 | win11-23h2 |
| Win11 24H2 | 0x8A | win11-24h2 |
| Server 2016 | 0x84 | winserver-2016 |
| Server 2019 | 0x86 | winserver-2019 |
| Server 2022 | 0x88 | winserver-2022 |
| Server 2025 | 0x8A | winserver-2025 |
Módulo del kernel
APIs relacionadas
Stub del syscall
4C 8B D1 mov r10, rcx B8 8A 00 00 00 mov eax, 0x8A F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Notas no documentadas
Análogo a nivel de hilo de `NtAlpcOpenSenderProcess`. Donde el helper a nivel de proceso responde *quién* llamó, el helper de hilo responde *qué hilo dentro de quién* llamó — útil cuando un servidor necesita distinguir múltiples peticiones concurrentes del mismo proceso cliente (típico en servidores RPC que pool worker threads del lado cliente). La implementación de kernel `AlpcpOpenSenderThread` recorre el mismo camino que la variante de proceso pero resuelve el ETHREAD desde `ClientId.UniqueThread`. Máscaras de acceso comunes: `THREAD_QUERY_LIMITED_INFORMATION` (para leer `ThreadDynamicCodePolicy`, estado de atestación), `THREAD_SUSPEND_RESUME` (raro; congela al llamante en una sección crítica).
Uso común por malware
Menos usado que la variante de proceso, pero aplica la misma clase de vulnerabilidad (chequeo olvidado). Patrón de abuso específico: un servidor que desea honrar un *token de impersonación* por-hilo puede abrir el hilo remitente, luego llamar `NtOpenThreadToken(...TRUE /*OpenAsSelf*/)` para tomar el token sin pasar por el camino formal `NtAlpcImpersonateClientOfPort` — eludiendo la política QoS ALPC. El catálogo de investigación Forshaw-Sandbox-Escape incluye al menos dos casos (Spooler, Search Indexer) donde este robo de token vía `NtAlpcOpenSenderThread` permitió un robo de token SYSTEM desde un llamante no privilegiado. También útil ofensivamente para disclosure de contexto de hilo: un atacante que ha comprometido un servidor RPC privilegiado puede llamar `NtAlpcOpenSenderThread` con `THREAD_GET_CONTEXT` y snapshotear los registros de cualquier cliente que se conecte — primitiva barata de disclosure de memoria.
Oportunidades de detección
Misma lógica de allowlist que `NtAlpcOpenSenderProcess` — los llamantes legítimos son un conjunto pequeño e identificable. Toda apertura de `THREAD_GET_CONTEXT` o `THREAD_SUSPEND_RESUME` sobre el remitente es un outlier fuerte que merece alerta independientemente del proceso. El proveedor ETW `Microsoft-Windows-Threat-Intelligence` (cuando está activo en Defender for Endpoint) emite eventos de apertura de handle de hilo con syscall originario — es la señal más limpia. Desde el userspace, hookear `NtAlpcOpenSenderThread` en ntdll atrapa servidores RPC user-mode pero pierde llamantes en kernel; combinar con ETW syscall de kernel.
Ejemplos de syscalls directos
cPer-thread context inspection
// Server-side: get the sending thread, then read its UMS / dynamic-code policy.
#include <windows.h>
#include <winternl.h>
NTSTATUS NTAPI NtAlpcOpenSenderThread(
PHANDLE, HANDLE, PPORT_MESSAGE, ULONG, ACCESS_MASK, POBJECT_ATTRIBUTES);
BOOL CallerThreadAllowsDynCode(HANDLE serverPort, PPORT_MESSAGE msg) {
HANDLE hThr = NULL;
if (NtAlpcOpenSenderThread(
&hThr, serverPort, msg,
0,
THREAD_QUERY_LIMITED_INFORMATION,
NULL) < 0) {
return FALSE;
}
PROCESS_MITIGATION_DYNAMIC_CODE_POLICY pol = {0};
BOOL ok = GetThreadInformation(hThr, ThreadDynamicCodePolicy, &pol, sizeof(pol));
CloseHandle(hThr);
return ok && !pol.ProhibitDynamicCode;
}asmx64 direct stub (Win11 24H2)
; Direct syscall stub for NtAlpcOpenSenderThread (SSN 0x8A on Win11 24H2 / Server 2025)
NtAlpcOpenSenderThread PROC
mov r10, rcx ; ThreadHandle
mov eax, 8Ah ; SSN
syscall
ret
NtAlpcOpenSenderThread ENDPMapeos MITRE ATT&CK
Last verified: 2026-05-20