> Windows Syscalls
ntoskrnl.exeT1559T1106

NtAlpcRevokeSecurityContext

Invalida un contexto SECURITY_QOS ALPC cacheado sin liberar su slot de handle.

Prototipo

NTSTATUS NtAlpcRevokeSecurityContext(
  HANDLE       PortHandle,
  ULONG        Flags,
  ALPC_HANDLE  ContextHandle
);

Argumentos

NameTypeDirDescription
PortHandleHANDLEinHandle al puerto ALPC que posee el contexto de seguridad.
FlagsULONGinReservado. Debe ser 0.
ContextHandleALPC_HANDLEinALPC_HANDLE opaco devuelto por NtAlpcCreateSecurityContext; el contexto a marcar revocado.

IDs de syscalls por versión de Windows

Versión de WindowsID de syscallBuild
Win10 15070x87win10-1507
Win10 16070x87win10-1607
Win10 17030x88win10-1703
Win10 17090x88win10-1709
Win10 18030x89win10-1803
Win10 18090x89win10-1809
Win10 19030x89win10-1903
Win10 19090x89win10-1909
Win10 20040x8Bwin10-2004
Win10 20H20x8Bwin10-20h2
Win10 21H10x8Bwin10-21h1
Win10 21H20x8Bwin10-21h2
Win10 22H20x8Bwin10-22h2
Win11 21H20x8Bwin11-21h2
Win11 22H20x8Bwin11-22h2
Win11 23H20x8Bwin11-23h2
Win11 24H20x8Dwin11-24h2
Server 20160x87winserver-2016
Server 20190x89winserver-2019
Server 20220x8Bwinserver-2022
Server 20250x8Dwinserver-2025

Módulo del kernel

ntoskrnl.exeNtAlpcRevokeSecurityContext

APIs relacionadas

NtAlpcCreateSecurityContextNtAlpcDeleteSecurityContextNtAlpcImpersonateClientOfPortNtAlpcQueryInformation

Stub del syscall

4C 8B D1            mov r10, rcx
B8 8D 00 00 00      mov eax, 0x8D
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notas no documentadas

`NtAlpcRevokeSecurityContext` es el **deshabilitado suave** frente al **destructor** `NtAlpcDeleteSecurityContext`. Cambia una bandera en la entrada de contexto para que cualquier `NtAlpcImpersonateClientOfPort` posterior que la referencie falle con `STATUS_ALPC_HANDLE_REVOKED`, pero la entrada permanece válida hasta la eliminación natural. Dos motivos para que un servidor prefiera revocar a eliminar: (1) el mismo handle aún está referenciado por `PORT_MESSAGE`s en vuelo y una eliminación provocaría una carrera; (2) el servidor desea registrar qué mensajes intentaron usar el token ahora inválido. El kernel pone `AlpcSecurityContext->Revoked` y deja que el ref-count baje a cero naturalmente; ese momento libera la referencia subyacente al token.

Uso común por malware

Casi sin interés ofensivo — es *menos* potente que `NtAlpcDeleteSecurityContext` (sin riesgo UAF, sin liberación inmediata). Un operador red-team que ha comprometido un servidor ALPC privilegiado podría revocar un contexto existente para **negar el servicio** a un cliente concreto (un agente EDR ruidoso, por ejemplo) sin tirar toda la conexión — degradación quirúrgica en lugar de tear-down. Por lo demás, el syscall sólo se invoca como parte del cleanup normal del servidor RPC.

Oportunidades de detección

Funcionalmente invisible para los defensores — la revocación no tiene efecto externo observable salvo que una impersonación posterior fallará con `STATUS_ALPC_HANDLE_REVOKED`, lo cual es normal en shutdown. Tratar anomalías igual que para `NtAlpcDeleteSecurityContext`: mirar el **patrón** (ciclos frecuentes revoke-luego-create sobre el mismo puerto sugieren un fuzzer o un probador TOCTOU), no el syscall en sí. El proveedor ETW Microsoft-Windows-Kernel-ALPC registra la llamada cuando está activo.

Ejemplos de syscalls directos

cSoft-disable a cached client QoS

// Mark a cached client context as revoked without disturbing in-flight messages.
// Later, NtAlpcDeleteSecurityContext finishes the job when the ref-count is zero.
#include <windows.h>
#include <winternl.h>

typedef PVOID ALPC_HANDLE;
NTSTATUS NTAPI NtAlpcRevokeSecurityContext(HANDLE, ULONG, ALPC_HANDLE);

void SoftRevoke(HANDLE serverPort, ALPC_HANDLE ctx) {
    // After this call, NtAlpcImpersonateClientOfPort referencing ctx returns
    // STATUS_ALPC_HANDLE_REVOKED instead of impersonating.
    NtAlpcRevokeSecurityContext(serverPort, 0, ctx);
}

asmx64 direct stub (Win11 24H2)

; Direct syscall stub for NtAlpcRevokeSecurityContext (SSN 0x8D on Win11 24H2 / Server 2025)
NtAlpcRevokeSecurityContext PROC
    mov  r10, rcx          ; PortHandle
    mov  eax, 8Dh          ; SSN
    syscall
    ret
NtAlpcRevokeSecurityContext ENDP

Mapeos MITRE ATT&CK

Last verified: 2026-05-20