Microsoft не успела: критический 0day в Windows потребовал срочного вмешательства сторонних разработчиков

leer en español

Windows RasMan 0day ACROS Security 0patch Microsoft CVE-2025-59230
Microsoft не успела: критический 0day в Windows потребовал срочного вмешательства сторонних разработчиков
Windows RasMan 0day ACROS Security 0patch Microsoft CVE-2025-59230

Спасать свои системы пользователям придётся с помощью неофициального патча.

image

В Windows обнаружилась новая проблема в службе Remote Access Connection Manager (RasMan), из-за которой систему можно вывести из строя без прав администратора. Для неё уже появилось бесплатное неофициальное исправление, пока Microsoft готовит собственное решение.

RasMan (диспетчер подключений удалённого доступа) — системная служба Windows, которая запускается автоматически, работает с привилегиями SYSTEM и отвечает за управление VPN, PPPoE и другими удалёнными сетевыми подключениями. Команда ACROS Security, развивающая платформу микроисправлений 0patch, нашла уязвимость нулевого дня при разборе CVE-2025-59230 — другой ошибки повышения привилегий в RasMan, которую злоумышленники использовали в атаках, а Microsoft закрыла в октябре.

Новая уязвимость относится к классу «отказ в обслуживании» и позволяет намеренно обрушить RasMan. Ей пока не присвоили идентификатор CVE, а затронутыми считаются все версии Windows от 7 до 11, а также Windows Server от 2008 R2 до Server 2025. По данным ACROS Security, в связке с CVE-2025-59230 или похожими ошибками повышения привилегий эта проблема помогает провести атаку с имитацией службы RasMan и добиться выполнения кода, но только в ситуации, когда RasMan не запущена. Возможность принудительно останавливать службу закрывает этот пробел — теперь злоумышленники могут «выключать» RasMan по требованию и снова открывать путь к повышению привилегий, который считался перекрытым.

Причина сбоя связана с ошибкой обработки циклических связных списков. При обходе списка служба может наткнуться на нулевой указатель и вместо корректного выхода из цикла пытается прочитать память по этому адресу, что и приводит к падению процесса.

ACROS Security выпустила бесплатное исправление через 0patch для всех затронутых систем. Для установки требуется зарегистрировать учётную запись и поставить агент 0patch — после запуска он применит все микропатчи автоматически, обычно без перезагрузки, если это не ограничено политикой применения исправлений.

Генеральный директор ACROS Security Митя Кольсек сообщил, что о проблеме уведомили Microsoft и официальный выпуск для поддерживаемых версий ожидается в одном из будущих обновлений Windows.