В Windows обнаружена новая уязвимость нулевого дня в службе Remote Access Connection Manager (RasMan), которую можно использовать для провоцирования отказа в обслуживании и дальнейших атак с повышением привилегий. Пока разработчики Microsoft еще не выпустили официальный патч, но специалисты Acros Security уже подготовили бесплатное временное исправление на своей платформе 0patch.
RasMan является одной из ключевых системных служб Windows. Она запускается автоматически, работает с привилегиями SYSTEM и отвечает за управление VPN, PPoE и другими удаленными сетевыми соединениями. Сбой в работе службы может не только нарушить сетевые подключения, но и создать условия для более серьезных атак.
Новый баг был обнаружен при анализе другой проблемы — CVE-2025-59230 (уязвимости повышения привилегий в RasMan, которую Microsoft исправила в октябре 2025 года после сообщений об использовании в реальных атаках). В процессе исследования специалисты Acros Security выяснили, что существует смежная с этим багом проблема, позволяющая любому локальному пользователю намеренно спровоцировать отказ в обслуживании RasMan.
Уязвимость пока не получила идентификатор CVE. Она затрагивает все версии Windows — от Windows 7 до Windows 11, а также Windows Server от версии 2008 R2 до Server 2025.
Корень проблемы кроется в обработке циклических связанных списков: при встрече с нулевым указателем служба пытается читать память по невалидному адресу, что приводит к аварийному завершению процесса.
Хотя на первый взгляд проблема выглядит как классический DoS, в связке с упомянутой выше CVE-2025-59230 (или другими похожими уязвимостями повышения привилегий) она становится гораздо опаснее. В таком сценарии злоумышленники уже могут выполнять код, выдавая себя за службу RasMan. Однако исследователи подчеркивают, что такая атака сработает лишь в том случае, если RasMan не запущен, а новая 0-day уязвимость как раз позволяет принудительно остановить службу.
Пока официального патча нет, эксперты Acros Security выпустили бесплатные неофициальные патчи, которые распространяются через платформу 0patch. Для их установки нужно создать аккаунт и установить агент 0patch, который применит микропатч автоматически (как правило, без перезагрузки системы).
Представители Microsoft подтвердили СМИ наличие проблемы и сообщили, что уже работают над исправлением. При этом в компании подчеркнули, что системы с установленными октябрьскими патчами защищены от эксплуатации уязвимости в сценариях с повышением привилегий.
