Уязвимость нулевого дня в Microsoft, позволяющая непривилегированному пользователю вызвать сбой службы диспетчера удаленного доступа Windows (RasMan), получила бесплатное неофициальное исправление. При этом нет никакой информации о том, когда Microsoft планирует выпустить официальное исправление, а в сети уже циркулирует рабочий эксплойт.
Исследователи из 0patch, сайта, занимающегося микропатчами, обнаружили эту уязвимость типа «отказ в обслуживании» (DoS) при изучении CVE-2025-59230 — уязвимости повышения привилегий в Windows RasMan, которую Microsoft исправила в октябре, но только после того, как злоумышленники успели её обнаружить и использовать.
RasMan — это критически важная служба Windows, управляющая VPN и другими удаленными сетевыми подключениями. CVE-2025-59230 позволяет авторизованному злоумышленнику локально повысить свои привилегии до уровня SYSTEM. По сути, она использует тот факт, что когда RasMan не запущена, любой процесс может выдать себя за RasMan и выполнить код через конечную точку RPC — условие, от которого зависит эксплойт.
Эксплойт доступен для бесплатного скачивания, поэтому можно предположить, что его получили и получат многие заинтересованные стороны, возможно, включая злоумышленников.
«Следовательно, рабочий эксплойт должен (также) иметь возможность остановить службу RasMan, чтобы освободить указанную конечную точку RPC», — заявил в пятницу в своем блоге генеральный директор ACROS Security и соучредитель 0patch Митя Кольсек (сказал). «И это была вторая, неочевидная уязвимость, которую использует найденный нами эксплойт CVE-2025-59230: та, которая позволяет непривилегированному пользователю вызвать сбой службы RasMan. Без этой возможности CVE-2025-59230 вряд ли удалось бы использовать».
Этой новой уязвимости еще не присвоен CVE, и она остается неисправленной во всех версиях Windows. Хотя Кольсек сообщил, что уведомил гиганта из Редмонда о дыре в безопасности, «мы не получили от Microsoft никакой информации о патче», — сказал он The Register.
Мы также обратились в Microsoft с просьбой о присвоении CVE и выпуске исправления, но ответа не получили.
Кольсек сообщил нам, что, хотя его компания не имеет доказательств эксплуатации этой уязвимости нулевого дня в реальных условиях, «мы обнаружили в Интернете рабочий эксплойт, который не был обнаружен ни одним антивирусным движком. Эксплойт доступен для бесплатного скачивания, поэтому можно предположить, что его получили и получат многие заинтересованные стороны, возможно, включая злоумышленников».
Как пояснил Кольсек в своем блоге, ошибка вызвана проблемой кодирования при обработке циклических связанных списков. Служба обходит список в цикле и должна выйти из него после завершения обхода, но не может выйти из цикла, если указатель равен null.
«Это вызывает нарушение доступа к памяти и приводит к сбою службы RasMan», — написал Кольсек.
Патч, как и все патчи, выпускаемые 0patch, бесплатен до тех пор, пока поставщик — в данном случае Microsoft — не выпустит официальное исправление. Чтобы получить его, необходимо зарегистрироваться для бесплатной пробной версии на сайте 0patch Central. ®
Автор – Jessica Lyons
