В екосистемі Windows виявлено нову 0-day уразливість у службі Remote Access Connection Manager (RasMan), яка дозволяє будь-якому локальному користувачу навмисно викликати відмову в обслуговуванні (DoS) цієї служби. Попри те, що офіційний патч від Microsoft ще не опублікований, компанія Acros Security уже надала безкоштовний мікропатч через платформу 0patch, що тимчасово закриває діру в безпеці.
Чому 0-day уразливість RasMan небезпечна для систем Windows
RasMan — це базова системна служба Windows, яка автоматично стартує разом з ОС, працює з правами SYSTEM та відповідає за керування VPN-підключеннями, PPPoE-сесіями й іншими сценаріями віддаленого доступу. Її аварійне завершення впливає не лише на стабільність мережевих підключень, а й може стати ключовим елементом у ланцюжку комбінованої атаки.
Будь-які вразливості в службах, що виконуються з привілеями SYSTEM, традиційно розглядаються як критичні. Навіть якщо мова йде «лише» про DoS, практика показує, що зловмисники часто поєднують подібні баги з іншими векторами, отримуючи в підсумку виконання коду з максимально можливими привілеями на цільовій системі.
Зв’язок із CVE-2025-59230 та ланцюжком атак на підвищення привілеїв
Новий баг було ідентифіковано під час аналізу раніше виправленої Microsoft уразливості CVE-2025-59230, пов’язаної з підвищенням привілеїв у RasMan і вже поміченої в реальних атаках. Досліджуючи механізми експлуатації CVE-2025-59230, фахівці Acros Security виявили додаткову проблему, яка дозволяє локальному користувачу навмисно «роняти» службу RasMan, спричиняючи її аварійне завершення.
Формально нова 0-day уразливість класифікується як DoS, однак її значущість різко зростає у зв’язці з CVE-2025-59230 або іншими помилками підвищення привілеїв. Дослідники зазначають, що експлуатація окремих багів у RasMan можлива лише тоді, коли служба перебуває в неактивному стані. Нова уразливість саме й дає зловмиснику керований механізм примусової зупинки RasMan, відкриваючи шлях до подальшого виконання коду від її імені.
Технічні деталі: некоректна обробка пов’язаних списків і нульовий вказівник
Помилка в циклічних пов’язаних списках
Коренева причина проблеми полягає в некоректній обробці циклічних пов’язаних списків усередині служби Remote Access Connection Manager. У певних умовах RasMan стикається з нульовим вказівником та намагається прочитати дані з невалідної області пам’яті.
Це призводить до винятку на рівні процесу і аварійного завершення роботи служби. Подібні помилки доступу до пам’яті — класичний клас вразливостей: залежно від контексту вони можуть проявлятися як простий DoS або еволюціонувати в повноцінний експлойт для підвищення привілеїв, якщо атакувальний код контролює структуру даних у пам’яті.
Потенціал для комбінованої експлуатації
У поточному сценарії підтверджено саме відмову в обслуговуванні служби RasMan. Втім, можливість надійно й повторювано виводити критичну службову компоненту з ладу часто використовується як підготовчий етап для подальшого обходу механізмів захисту, таких як ASLR, контроль цілісності або моніторинг поведінки.
Які версії Windows вразливі та статус присвоєння CVE
За інформацією Acros Security, уразливість RasMan зачіпає широкий спектр підтримуваних і застарілих версій Windows:
— клієнтські системи: від Windows 7 до Windows 11;
— серверні ОС: від Windows Server 2008 R2 до Windows Server 2025.
На момент підготовки матеріалу нова 0-day ще не отримала офіційний ідентифікатор CVE, що є типовою ситуацією на ранніх етапах розкриття уразливостей. Постачальник поінформований і працює над інтеграцією виправлення в стандартний цикл щомісячних оновлень безпеки Windows.
0patch-мікропатч від Acros Security та позиція Microsoft
Поки Microsoft готує офіційний патч, Acros Security опублікувала безкоштовні неофіційні мікропатчі, які доставляються через платформу 0patch. Для їх встановлення необхідно створити обліковий запис, розгорнути агент 0patch на цільовій системі, після чого виправлення буде динамічно застосоване в пам’ять процесу, зазвичай без потреби перезавантаження ОС.
Представники Microsoft підтверджують наявність проблеми й повідомляють, що системи з актуальними жовтневими оновленнями уже захищені від частини сценаріїв, пов’язаних із підвищенням привілеїв у RasMan. Водночас ризик відмови в обслуговуванні служби зберігається до виходу повноцінного офіційного оновлення.
Рекомендації адміністраторам та продвинутим користувачам Windows
Тактичні кроки захисту
Організаціям і технічно підкованим користувачам доцільно розглянути впровадження тимчасового мікропатча 0patch, особливо в середовищах з широким використанням VPN та інших механізмів віддаленого доступу. Важливо попередньо протестувати сторонній патч у тестовому або пілотному сегменті й дотримуватися стандартних процедур управління змінами.
До виходу офіційного оновлення рекомендується:
— обмежити локальний інтерактивний доступ до серверів і критично важливих робочих станцій;
— посилити моніторинг журналів подій, пов’язаних із падінням служб та нестабільністю RasMan;
— переконатися, що на всі підтримувані системи встановлено останні кумулятивні оновлення безпеки Windows, включно з жовтневими релізами;
— переглянути політики мінімально необхідних привілеїв для локальних користувачів і службових облікових записів.
Ситуація з 0-day уразливістю RasMan ще раз демонструє, що стійкість інфраструктури залежить не лише від швидкості реакції постачальника, а й від зрілості процесів кібербезпеки всередині організації: регулярних оновлень, багаторівневого захисту, безперервного моніторингу подій та готовності оперативно застосовувати тимчасові рішення на кшталт мікропатчів. Варто уважно стежити за подальшими бюлетенями Microsoft і повідомленнями від незалежних дослідницьких команд, а також періодично переглядати власну політику управління вразливостями, щоб мінімізувати ризики та зберігати контроль над критичними сервісами Windows.
