В Windows обнаружена 0‑day‑уязвимость в службе RasMan: Microsoft подтверждает проблему
В Windows выявлена новая 0‑day‑уязвимость в службе Remote Access Connection Manager (RasMan), которую можно использовать для провоцирования отказа в обслуживании и последующих атак с повышением привилегий. Microsoft официального исправления пока не выпустила, однако специалисты Acros Security уже подготовили бесплатный временный микропатч, распространяемый через платформу 0patch.
RasMan — одна из ключевых системных служб Windows, автоматически запускаемая при старте ОС и работающая с привилегиями SYSTEM. Она отвечает за управление VPN, dial-up, PPPoE и другими удалёнными сетевыми соединениями. Сбой в её работе нарушает работу VPN и компонентов удалённого доступа и одновременно создаёт условия для более сложных атак на систему.
Уязвимость обнаружили при анализе другой проблемы — CVE-2025-59230, уязвимости повышения привилегий в RasMan, закрытой Microsoft в октябре 2025 года после сообщений об её эксплуатации в реальных атаках. Исследователи Acros Security выяснили, что существует смежный баг, позволяющий любому локальному пользователю преднамеренно вызвать отказ в обслуживании службы RasMan. Эта новая 0‑day пока не получила идентификатор CVE и затрагивает все версии Windows — от Windows 7 до Windows 11, а также Windows Server от 2008 R2 до Server 2025.
Проблема связана с обработкой циклических связанных списков: при встрече с нулевым указателем служба пытается читать память по невалидному адресу, что приводит к аварийному завершению процесса. Формально речь идёт о DoS‑уязвимости, но в комбинации с CVE-2025-59230 или подобными багами повышения привилегий она становится гораздо опаснее. В таком сценарии атакующий может выполнять код от имени службы RasMan, если та не запущена; новая 0‑day как раз позволяет принудительно остановить RasMan, подготавливая почву для дальнейшей эксплуатации.
Временные патчи от Acros Security распространяются через платформу 0patch и доступны бесплатно. Для установки требуется создать аккаунт, установить агент 0patch и активировать микропатчи, которые, как правило, применяются без перезагрузки системы. В Microsoft подтвердили наличие проблемы и заявили, что уже работают над официальным исправлением. При этом компания подчёркивает, что системы с установленными октябрьскими патчами защищены от эксплуатации уязвимости именно в сценариях с повышением привилегий, хотя риск отказа в обслуживании RasMan остаётся до выхода полноценного обновления.
