> Windows Syscalls
ntoskrnl.exeT1611T1134

NtRevertContainerImpersonation

Restaure le contexte de sécurité hôte après une impersonation de Server Silo / conteneur Argon.

Prototype

NTSTATUS NtRevertContainerImpersonation(VOID);

Arguments

NameTypeDirDescription

IDs de syscalls par version de Windows

Version de WindowsID de syscallBuild
Win10 15070x162win10-1507
Win10 16070x169win10-1607
Win10 17030x16Fwin10-1703
Win10 17090x172win10-1709
Win10 18030x174win10-1803
Win10 18090x175win10-1809
Win10 19030x176win10-1903
Win10 19090x176win10-1909
Win10 20040x17Cwin10-2004
Win10 20H20x17Cwin10-20h2
Win10 21H10x17Cwin10-21h1
Win10 21H20x17Ewin10-21h2
Win10 22H20x17Ewin10-22h2
Win11 21H20x186win11-21h2
Win11 22H20x189win11-22h2
Win11 23H20x189win11-23h2
Win11 24H20x18Bwin11-24h2
Server 20160x169winserver-2016
Server 20190x175winserver-2019
Server 20220x184winserver-2022
Server 20250x18Bwinserver-2025

Module noyau

ntoskrnl.exeNtRevertContainerImpersonation

APIs liées

NtImpersonateThreadNtOpenThreadTokenPsAttachSiloToCurrentThreadPsDetachSiloFromCurrentThreadPsGetCurrentServerSiloRevertToSelf

Stub du syscall

4C 8B D1            mov r10, rcx
B8 8B 01 00 00      mov eax, 0x18B
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notes non documentées

NtRevertContainerImpersonation annule une impersonation préalable du jeton hôte côté conteneur dans un Server Silo (alias conteneur Argon — la primitive kernel introduite avec Windows 10 qui sous-tend les Windows Server Containers et le mode process-isolated de Docker sur Windows). L'opération inverse — l'entrée en impersonation hôte — est effectuée implicitement quand un service silo-aware franchit la frontière du silo. Aucun wrapper Win32 public ; l'appel est consommé presque exclusivement par le Host Compute Service (vmcompute.exe), hcsshim et quelques composants Container Manager. Le syscall ne prend aucun argument et agit sur le jeton d'impersonation du thread appelant.

Usage courant par les malwares

Signal malware très faible. Le syscall n'a de sens que si l'appelant s'exécute dans un Server Silo, déploiement étroit. Il y a eu un intérêt académique et red-team pour les évasions de conteneur visant hcsshim et vmcompute (notamment l'écrit 'Siloscape' de Palo Alto Unit 42 en 2021, qui abusait d'API légitimes de gestion de conteneurs plutôt que ce syscall), mais aucune famille de malware grand public n'invoque NtRevertContainerImpersonation en environnement réel. À documenter pour la complétude de la surface d'attaque silo plutôt que pour sa valeur IOC.

Opportunités de détection

Télémétrie rare. Les providers ETW Microsoft-Windows-Containers-CCG et Microsoft-Windows-Hyper-V-Compute émettent des événements de cycle de vie de silo mais n'exposent pas ce syscall directement. Du point de vue défenseur, la vraie question est « un processus inattendu dans un conteneur a-t-il manipulé son état d'impersonation silo ? » — réponse via la corrélation de l'ID conteneur (PsGetSiloMonitorContextSlot) avec l'image parent et la ligne de commande via Defender for Containers ou les événements ImageLoad Sysmon sur les DLLs vmcompute/hcs*. Le provider ETW kernel Microsoft-Windows-Kernel-Process expose les transitions d'impersonation de token filtrables sur les threads silo.

Exemples de syscalls directs

asmx64 direct stub (Win11 24H2)

; Direct syscall stub for NtRevertContainerImpersonation (SSN 0x18B, Win11 24H2)
NtRevertContainerImpersonation PROC
    mov  r10, rcx          ; syscall convention
    mov  eax, 18Bh         ; SSN
    syscall
    ret
NtRevertContainerImpersonation ENDP

cDynamic resolution from ntdll

// No Win32 wrapper exists; resolve from ntdll directly.
typedef NTSTATUS (NTAPI *PFN_NtRevertContainerImpersonation)(VOID);

HMODULE hNtdll = GetModuleHandleW(L"ntdll.dll");
PFN_NtRevertContainerImpersonation pNtRevert =
    (PFN_NtRevertContainerImpersonation)GetProcAddress(
        hNtdll, "NtRevertContainerImpersonation");

if (pNtRevert) {
    NTSTATUS s = pNtRevert();
    // STATUS_SUCCESS only when called from inside a Server Silo with
    // an active container-side host impersonation.
    if (!NT_SUCCESS(s)) {
        // STATUS_INVALID_PARAMETER outside a silo.
    }
}

Mappings MITRE ATT&CK

Last verified: 2026-05-20