В экосистеме Windows выявлена новая уязвимость нулевого дня в службе Remote Access Connection Manager (RasMan), которая позволяет локальному пользователю целенаправленно вызвать отказ в обслуживании (DoS) и создать условия для последующих атак с повышением привилегий. Пока официальное обновление со стороны Microsoft не выпущено, но эксперты Acros Security уже предоставили временное исправление через платформу 0patch.
Почему уязвимость RasMan опасна для систем Windows
Служба RasMan является одной из базовых системных служб Windows. Она автоматически запускается при старте системы, функционирует с правами SYSTEM и отвечает за управление VPN-подключениями, PPoE-сессиями и другими типами удаленного доступа к сети. Сбой в её работе затрагивает не только стабильность сетевых соединений, но и может стать важным элементом в цепочке более сложной атаки.
Поскольку RasMan работает с максимальными системными привилегиями, любые уязвимости в этой службе традиционно рассматриваются как критические. Даже если на первый взгляд речь идёт лишь о отказе в обслуживании, в реальных сценариях злоумышленники часто комбинируют такие баги с другими exploit-цепочками для достижения выполнения кода с правами SYSTEM.
Связь с CVE-2025-59230 и сценарий комбинированной атаки
Новый баг был обнаружен в процессе анализа ранее исправленной Microsoft уязвимости CVE-2025-59230, также связанной с повышением привилегий в RasMan, о которой сообщалось как об уже эксплуатируемой в реальных атаках. Исследуя детали этого CVE, специалисты Acros Security выявили смежную проблему, которая позволяет любому локальному пользователю намеренно «ронять» службу RasMan, вызывая её аварийное завершение.
Хотя описанная 0-day уязвимость формально является DoS-багом, её значение существенно возрастает в связке с CVE-2025-59230 или схожими уязвимостями повышения привилегий. Исследователи подчеркивают, что успешная эксплуатация некоторых багов в RasMan возможна только при условии, что служба в данный момент не активна. Новый 0-day как раз и даёт атакующему инструмент для принудительной остановки службы, открывая путь к дальнейшему выполнению кода от имени RasMan.
Техническая суть уязвимости: обработка связанных списков и нулевой указатель
Корневая причина проблемы связана с ошибкой в обработке циклических связанных списков внутри RasMan. В определённых условиях служба сталкивается с нулевым указателем и пытается прочитать данные по невалидному адресу памяти. Это приводит к исключению на уровне процесса и завершению работы службы с ошибкой.
Подобные ошибки обращения к памяти — классический пример уязвимости, которая может проявляться по-разному в зависимости от контекста: от простого DoS до полноценного эксплойта на повышение привилегий, если удаётся контролировать структуру данных в памяти. В рассматриваемом случае пока подтверждён именно сценарий отказа в обслуживании, но его уже достаточно, чтобы повысить эффективность других атак.
Затронутые версии Windows и статус CVE
По данным Acros Security, уязвимость затрагивает широкий спектр версий Windows:
— клиентские системы: от Windows 7 до Windows 11;
— серверные ОС: от Windows Server 2008 R2 до Windows Server 2025.
На момент подготовки материала уязвимость ещё не получила официальный идентификатор CVE, что типично для 0-day проблем на ранней стадии раскрытия. Тем не менее вендор уже проинформирован и работает над исправлением.
Временный микропатч 0patch и позиция Microsoft
Пока Microsoft готовит официальное обновление, Acros Security выпустила бесплатные неофициальные микропатчи, распространяемые через платформу 0patch. Для их установки требуется создание аккаунта и инсталляция агента 0patch, который автоматически применяет исправление в память процесса, как правило, без необходимости перезагрузки системы.
Представители Microsoft подтвердили существование проблемы и сообщили, что уже работают над интеграцией исправления в стандартный цикл обновлений безопасности. При этом компания отмечает, что системы с установленными октябрьскими патчами защищены от эксплуатации уязвимости в части сценариев, связанных именно с повышением привилегий, хотя риск DoS для RasMan остаётся актуальным до выхода официального обновления.
Рекомендации администраторам и пользователям Windows
Организациям и продвинутым пользователям Windows имеет смысл рассмотреть применение временного микропатча от 0patch, особенно в средах, где широко используются VPN и другие функции удалённого доступа. Важно оценить влияние стороннего патча на критичные системы и протестировать его в пилотной зоне, следуя стандартным практикам управления изменениями.
До выхода официального обновления также целесообразно:
— ограничить возможность локального интерактивного доступа к серверам и критичным рабочим станциям;
— усилить мониторинг событий, связанных с падением служб и нестабильной работой RasMan;
— убедиться, что все последние кумулятивные обновления безопасности Windows (включая октябрьские релизы) установлены на всех поддерживаемых системах.
Новые уязвимости в базовых службах Windows наглядно показывают, насколько важен комплексный подход к кибербезопасности: своевременное обновление, многоуровневая защита, мониторинг аномалий и готовность оперативно применять временные решения, такие как микропатчи. Регулярное отслеживание информации от вендоров и независимых исследовательских команд остаётся ключевым условием для минимизации рисков и поддержания устойчивости инфраструктуры.
