In Microsofts Windows-Ökosystem ist eine neue 0-Day-Schwachstelle im Dienst Remote Access Connection Manager (RasMan) publik geworden. Ein beliebiger lokaler Benutzer kann damit gezielt einen Denial-of-Service (DoS) auslösen und so Bedingungen schaffen, die sich in Kombination mit anderen Schwachstellen zur Privilegienerweiterung ausnutzen lassen. Während ein offizieller Patch von Microsoft noch aussteht, stellt Acros Security über die Plattform 0patch bereits einen kostenlosen Mikropatch bereit.
RasMan: Systemkritischer Windows-Dienst mit hohem Angriffsprofil
Der Dienst RasMan gehört zu den grundlegenden Systemdiensten in Windows. Er wird beim Start automatisch geladen, läuft mit den höchsten Rechten unter dem Konto SYSTEM und steuert unter anderem VPN-Verbindungen, PPPoE-Sessions und weitere Remote-Access-Funktionen. Ein Absturz oder eine Fehlfunktion wirkt sich daher direkt auf die Stabilität von Netzwerk- und Fernzugriffen aus.
Schwachstellen in Diensten mit Systemrechten gelten in der Regel als besonders kritisch. Selbst wenn die unmittelbare Auswirkung zunächst „nur“ ein DoS ist, nutzen Angreifer solche Fehler häufig als Baustein in komplexen Exploit-Ketten, um schrittweise Code mit SYSTEM-Rechten auszuführen. Branchenberichte wie der Verizon Data Breach Investigations Report betonen seit Jahren, dass lokale Privilegienerweiterungen ein zentrales Element erfolgreicher Angriffe sind.
Verbindung zu CVE-2025-59230: DoS als Sprungbrett für Privilegienerweiterung
Die neue Schwachstelle wurde im Zuge der Analyse einer bereits von Microsoft geschlossenen Lücke entdeckt: CVE-2025-59230, eine verwundbare Stelle in RasMan, die zur Privilegienerweiterung genutzt werden konnte und laut Microsoft bereits aktiv angegriffen wurde. Bei der Detailuntersuchung dieses Patches stießen Forscher von Acros Security auf eine verwandte, bisher ungepatchte Schwachstelle.
Diese 0-Day-Lücke erlaubt es jedem lokalen Benutzer, den RasMan-Dienst kontrolliert abstürzen zu lassen. Formal handelt es sich um einen DoS-Bug, doch seine sicherheitstechnische Relevanz steigt deutlich, wenn er mit CVE-2025-59230 oder ähnlichen Schwachstellen kombiniert wird. Einige Exploits auf RasMan sind nur dann zuverlässig umsetzbar, wenn der Dienst sich in einem bestimmten Zustand oder gar nicht im laufenden Betrieb befindet. Der neue Fehler liefert dafür den technischen Hebel zur erzwungenen Dienstbeendigung und kann somit die Ausnutzung anderer Lücken erleichtern.
Technischer Hintergrund: Fehler bei zyklischen Listen und Nullzeiger-Dereferenzierung
Aus technischer Sicht liegt die Ursache in einer fehlerhaften Verarbeitung von zyklischen verketteten Listen innerhalb des RasMan-Codes. Unter bestimmten Randbedingungen arbeitet die interne Datenstruktur nicht mehr konsistent, sodass der Dienst einen Nullzeiger erhält und versucht, über eine ungültige Speicheradresse zu lesen.
Dieses Verhalten führt zu einer Null Pointer Dereference, die auf Prozessebene eine Ausnahme auslöst und den Dienst zum Absturz bringt. Fehler bei der Speicheradressierung sind ein klassischer Schwachstellentyp: Je nach Kontext reichen die Auswirkungen von DoS bis hin zu vollständiger Codeausführung mit erhöhten Rechten, wenn sich Speicherlayout und Datenstrukturen gezielt beeinflussen lassen. Im vorliegenden Fall ist bislang ein stabiler DoS nachgewiesen, die Schwachstelle erhöht jedoch nachweislich die Effektivität anderer Angriffe auf RasMan.
Betroffene Windows-Versionen und aktueller 0-Day-Status
Laut Acros Security betrifft die Schwachstelle einen breiten Bereich von Windows-Versionen:
– Client-Systeme: von Windows 7 bis Windows 11
– Server-Systeme: von Windows Server 2008 R2 bis Windows Server 2025
Zum Zeitpunkt der Veröffentlichung liegt noch kein offizieller CVE-Eintrag für die neue 0-Day-Schwachstelle vor, was in frühen Offenlegungsphasen nicht unüblich ist. Microsoft wurde nach Angaben der Forscher informiert und arbeitet an einer Integration der Korrektur in den regulären Sicherheitspatch-Zyklus.
Microsoft weist darauf hin, dass Systeme mit den Oktober-Sicherheitsupdates gegen bekannte Privilegienerweiterungs-Szenarien in RasMan besser geschützt sind. Das Risiko eines gezielten DoS gegen den Dienst bleibt jedoch bestehen, bis ein offizieller Fix verteilt wird.
0patch-Mikropatch und empfohlene Schutzmassnahmen
Als Zwischenlösung hat Acros Security über die Plattform 0patch kostenlose Mikropatches veröffentlicht. Nach Registrierung und Installation eines 0patch-Agents wird das Fix direkt im Speicher des betroffenen Prozesses angewendet, in der Regel ohne Neustart des Systems. Dieses „In-Memory-Patching“ ist insbesondere für produktive Umgebungen interessant, in denen Ausfallzeiten minimiert werden müssen.
Organisationen und erfahrenen Windows-Anwendern wird empfohlen, den Einsatz des Mikropatches zu prüfen – vor allem in Infrastrukturen, in denen VPN, Remote Access und PPPoE geschäftskritisch sind. Wie bei jeder Änderung sollte der Patch zunächst in einer Test- oder Pilotumgebung validiert werden, im Rahmen eines etablierten Change-Management-Prozesses.
Bis ein offizieller Microsoft-Patch verfügbar ist, sollten Administratoren zusätzlich:
– den lokalen, interaktiven Zugriff auf Server und kritische Workstations maximal einschränken;
– das Monitoring von Ereignisprotokollen zu Dienstabstürzen und insbesondere zu RasMan-Anomalien verstärken;
– sicherstellen, dass alle kumulativen Sicherheitsupdates (einschliesslich der aktuellen Monats-Patches) auf allen unterstützten Systemen installiert sind;
– in SIEM- und EDR-Lösungen gezielte Alerts für wiederholte Neustarts von RasMan hinterlegen, da diese auf Exploit-Versuche hindeuten können.
Die aktuelle 0-Day-Schwachstelle in RasMan unterstreicht, wie angreifbar grundlegende Systemdienste selbst in ausgereiften Plattformen wie Windows bleiben. Wer seine Infrastruktur nachhaltig schützen will, sollte auf eine Kombination aus konsequentem Patch-Management, mehrschichtiger Abwehr, engmaschigem Monitoring und klaren Prozessen für den Einsatz von temporären Lösungen wie Mikropatches setzen. Es lohnt sich, Sicherheitsadvisories von Herstellern und unabhängigen Forschungsteams regelmässig zu verfolgen und Frühwarnungen wie diese ernst zu nehmen, um Angreifern möglichst wenig Angriffsfläche zu bieten.
