> Windows Syscalls
ntoskrnl.exeT1068T1134T1559

NtAlpcOpenSenderThread

Ayudante del lado servidor que abre un HANDLE al hilo que envió un mensaje ALPC dado.

Prototipo

NTSTATUS NtAlpcOpenSenderThread(
  PHANDLE             ThreadHandle,
  HANDLE              PortHandle,
  PPORT_MESSAGE       PortMessage,
  ULONG               Flags,
  ACCESS_MASK         DesiredAccess,
  POBJECT_ATTRIBUTES  ObjectAttributes
);

Argumentos

NameTypeDirDescription
ThreadHandlePHANDLEoutRecibe un HANDLE al objeto ETHREAD del remitente, abierto con DesiredAccess.
PortHandleHANDLEinHandle al puerto de comunicación ALPC del servidor que recibió el mensaje.
PortMessagePPORT_MESSAGEinEl PORT_MESSAGE recién devuelto por NtAlpcSendWaitReceivePort; su ClientId.UniqueThread identifica al hilo remitente.
FlagsULONGinBanderas reservadas / contextuales. Típicamente 0.
DesiredAccessACCESS_MASKinMáscara de acceso para el handle devuelto (p. ej. THREAD_QUERY_LIMITED_INFORMATION para identidad, THREAD_GET_CONTEXT para inspección de pila).
ObjectAttributesPOBJECT_ATTRIBUTESinBloque de atributos de objeto (normalmente sólo flags de herencia). Puede ser NULL.

IDs de syscalls por versión de Windows

Versión de WindowsID de syscallBuild
Win10 15070x84win10-1507
Win10 16070x84win10-1607
Win10 17030x85win10-1703
Win10 17090x85win10-1709
Win10 18030x86win10-1803
Win10 18090x86win10-1809
Win10 19030x86win10-1903
Win10 19090x86win10-1909
Win10 20040x88win10-2004
Win10 20H20x88win10-20h2
Win10 21H10x88win10-21h1
Win10 21H20x88win10-21h2
Win10 22H20x88win10-22h2
Win11 21H20x88win11-21h2
Win11 22H20x88win11-22h2
Win11 23H20x88win11-23h2
Win11 24H20x8Awin11-24h2
Server 20160x84winserver-2016
Server 20190x86winserver-2019
Server 20220x88winserver-2022
Server 20250x8Awinserver-2025

Módulo del kernel

ntoskrnl.exeNtAlpcOpenSenderThread

APIs relacionadas

NtAlpcOpenSenderProcessNtAlpcImpersonateClientOfPortNtAlpcSendWaitReceivePortNtOpenThreadTokenNtGetContextThreadNtQueryInformationThread

Stub del syscall

4C 8B D1            mov r10, rcx
B8 8A 00 00 00      mov eax, 0x8A
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notas no documentadas

Análogo a nivel de hilo de `NtAlpcOpenSenderProcess`. Donde el helper a nivel de proceso responde *quién* llamó, el helper de hilo responde *qué hilo dentro de quién* llamó — útil cuando un servidor necesita distinguir múltiples peticiones concurrentes del mismo proceso cliente (típico en servidores RPC que pool worker threads del lado cliente). La implementación de kernel `AlpcpOpenSenderThread` recorre el mismo camino que la variante de proceso pero resuelve el ETHREAD desde `ClientId.UniqueThread`. Máscaras de acceso comunes: `THREAD_QUERY_LIMITED_INFORMATION` (para leer `ThreadDynamicCodePolicy`, estado de atestación), `THREAD_SUSPEND_RESUME` (raro; congela al llamante en una sección crítica).

Uso común por malware

Menos usado que la variante de proceso, pero aplica la misma clase de vulnerabilidad (chequeo olvidado). Patrón de abuso específico: un servidor que desea honrar un *token de impersonación* por-hilo puede abrir el hilo remitente, luego llamar `NtOpenThreadToken(...TRUE /*OpenAsSelf*/)` para tomar el token sin pasar por el camino formal `NtAlpcImpersonateClientOfPort` — eludiendo la política QoS ALPC. El catálogo de investigación Forshaw-Sandbox-Escape incluye al menos dos casos (Spooler, Search Indexer) donde este robo de token vía `NtAlpcOpenSenderThread` permitió un robo de token SYSTEM desde un llamante no privilegiado. También útil ofensivamente para disclosure de contexto de hilo: un atacante que ha comprometido un servidor RPC privilegiado puede llamar `NtAlpcOpenSenderThread` con `THREAD_GET_CONTEXT` y snapshotear los registros de cualquier cliente que se conecte — primitiva barata de disclosure de memoria.

Oportunidades de detección

Misma lógica de allowlist que `NtAlpcOpenSenderProcess` — los llamantes legítimos son un conjunto pequeño e identificable. Toda apertura de `THREAD_GET_CONTEXT` o `THREAD_SUSPEND_RESUME` sobre el remitente es un outlier fuerte que merece alerta independientemente del proceso. El proveedor ETW `Microsoft-Windows-Threat-Intelligence` (cuando está activo en Defender for Endpoint) emite eventos de apertura de handle de hilo con syscall originario — es la señal más limpia. Desde el userspace, hookear `NtAlpcOpenSenderThread` en ntdll atrapa servidores RPC user-mode pero pierde llamantes en kernel; combinar con ETW syscall de kernel.

Ejemplos de syscalls directos

cPer-thread context inspection

// Server-side: get the sending thread, then read its UMS / dynamic-code policy.
#include <windows.h>
#include <winternl.h>

NTSTATUS NTAPI NtAlpcOpenSenderThread(
    PHANDLE, HANDLE, PPORT_MESSAGE, ULONG, ACCESS_MASK, POBJECT_ATTRIBUTES);

BOOL CallerThreadAllowsDynCode(HANDLE serverPort, PPORT_MESSAGE msg) {
    HANDLE hThr = NULL;
    if (NtAlpcOpenSenderThread(
            &hThr, serverPort, msg,
            0,
            THREAD_QUERY_LIMITED_INFORMATION,
            NULL) < 0) {
        return FALSE;
    }
    PROCESS_MITIGATION_DYNAMIC_CODE_POLICY pol = {0};
    BOOL ok = GetThreadInformation(hThr, ThreadDynamicCodePolicy, &pol, sizeof(pol));
    CloseHandle(hThr);
    return ok && !pol.ProhibitDynamicCode;
}

asmx64 direct stub (Win11 24H2)

; Direct syscall stub for NtAlpcOpenSenderThread (SSN 0x8A on Win11 24H2 / Server 2025)
NtAlpcOpenSenderThread PROC
    mov  r10, rcx          ; ThreadHandle
    mov  eax, 8Ah          ; SSN
    syscall
    ret
NtAlpcOpenSenderThread ENDP

Mapeos MITRE ATT&CK

Last verified: 2026-05-20