0Day в Windows. Простой сбой превращается в права администратора
NewsMaker0patch нашла не закрытый 0Day, позволяющий обычному пользователю обрушить службу RasMan в Windows.
Компания 0patch сообщила , что во время анализа уязвимости CVE-2025-59230 в службе Windows Remote Access Connection Manager (RasMan), которую Microsoft закрыла обновлениями за октябрь 2025 года, исследователи нашли рабочий эксплойт, дающий локальное выполнение кода с правами Local System из-под обычного пользователя. Но вместе с ним обнаружилась и другая проблема: в эксплойте был отдельный приём, позволяющий непривилегированному пользователю «уронить» RasMan, и эта уязвимость, по словам авторов, до сих пор не исправлена.
CVE-2025-59230 устроена довольно просто: при запуске RasMan регистрирует RPC-эндпоинт, к которому затем подключаются другие службы и доверяют ответам. Если RasMan не запущен, любой процесс, включая пользовательский эксплойт без админских прав, может зарегистрировать тот же RPC-эндпоинт раньше и заставить привилегированные службы подключиться к «поддельной» точке. Дальше это доверие можно использовать, чтобы подсунуть инструкции, ведущие к выполнению кода атакующего.
Проблема, однако, в практической эксплуатации: RasMan обычно стартует автоматически вместе с Windows (авторы отмечают, что в Windows 11 служба может быть настроена как «вручную», но всё равно запускается при старте системы), поэтому «поймать» момент, когда RasMan не работает, почти нереально — даже запланированная задача, созданная злоумышленником, не успеет «обогнать» службу и первой зарегистрировать RPC-эндпоинт.
Из-за этого эксплойту нужно уметь ещё и остановить RasMan, чтобы освободить нужный RPC-эндпоинт. Именно такой второй шаг и оказался отдельной уязвимостью: непривилегированный пользователь может аварийно завершить RasMan, то есть вызвать отказ в обслуживании и тем самым расчистить путь для дальнейшей атаки по CVE-2025-59230.
Компания 0patch сообщила , что во время анализа уязвимости CVE-2025-59230 в службе Windows Remote Access Connection Manager (RasMan), которую Microsoft закрыла обновлениями за октябрь 2025 года, исследователи нашли рабочий эксплойт, дающий локальное выполнение кода с правами Local System из-под обычного пользователя. Но вместе с ним обнаружилась и другая проблема: в эксплойте был отдельный приём, позволяющий непривилегированному пользователю «уронить» RasMan, и эта уязвимость, по словам авторов, до сих пор не исправлена.
CVE-2025-59230 устроена довольно просто: при запуске RasMan регистрирует RPC-эндпоинт, к которому затем подключаются другие службы и доверяют ответам. Если RasMan не запущен, любой процесс, включая пользовательский эксплойт без админских прав, может зарегистрировать тот же RPC-эндпоинт раньше и заставить привилегированные службы подключиться к «поддельной» точке. Дальше это доверие можно использовать, чтобы подсунуть инструкции, ведущие к выполнению кода атакующего.
Проблема, однако, в практической эксплуатации: RasMan обычно стартует автоматически вместе с Windows (авторы отмечают, что в Windows 11 служба может быть настроена как «вручную», но всё равно запускается при старте системы), поэтому «поймать» момент, когда RasMan не работает, почти нереально — даже запланированная задача, созданная злоумышленником, не успеет «обогнать» службу и первой зарегистрировать RPC-эндпоинт.
Из-за этого эксплойту нужно уметь ещё и остановить RasMan, чтобы освободить нужный RPC-эндпоинт. Именно такой второй шаг и оказался отдельной уязвимостью: непривилегированный пользователь может аварийно завершить RasMan, то есть вызвать отказ в обслуживании и тем самым расчистить путь для дальнейшей атаки по CVE-2025-59230.