攻撃者がリモート アクセス接続マネージャー(RasMan)サービスをクラッシュさせることを可能にする、新たな Windows のゼロデイ脆弱性に対し、無料の非公式パッチが公開されています。
RasMan は重要な Windows システムサービスで、自動的に起動し、SYSTEM 権限レベルでバックグラウンド実行され、VPN、PPPoE(Point-to-Point Protocol over Ethernet)、その他のリモートネットワーク接続を管理します。
0patch マイクロパッチングプラットフォームを運営する ACROS Security は、攻撃で悪用され、CVE-2025-59230(Windows RasMan の権限昇格の脆弱性)を調査する過程で、新たなサービス拒否(DoS)脆弱性を発見しました。この脆弱性は10 月にパッチが提供されました。
この DoS ゼロデイには CVE ID がまだ割り当てられておらず、Windows 7 から Windows 11、Windows Server 2008 R2 から Server 2025 まで、すべての Windows バージョンで未修正のままです。
研究者らによると、この脆弱性は CVE-2025-59230(または類似の権限昇格の脆弱性)と組み合わせることで、攻撃者が RasMan サービスになりすましてコードを実行できるようになります。ただし、この攻撃が機能するのは RasMan が実行されていない場合に限られます。
今回の新たな脆弱性は、欠けていたパズルのピースを提供するもので、脅威アクターが RasMan サービスを任意にクラッシュさせることを可能にし、Microsoft が封じ込めたと考えていた権限昇格攻撃への道を再び開いてしまいます。
特権を持たないユーザーでも、循環リンクリストの処理方法におけるコーディングエラーにより、このゼロデイを悪用して RasMan サービスをクラッシュさせることができます。サービスがリストを走査中にヌルポインタに遭遇すると、ループを抜けるのではなく、そのポインタからメモリを読み込もうとするため、クラッシュが発生します。
ACROS Security は現在、Microsoft が公式修正プログラムを提供するまでの間、影響を受けるすべての Windows バージョン向けに、この Windows RasMan ゼロデイに対する無料の非公式セキュリティパッチを、0Patch マイクロパッチングサービスを通じて提供しています。
デバイスにマイクロパッチをインストールするには、アカウントを作成し、0Patch エージェントをインストールする必要があります。エージェントを起動すると、カスタムのパッチ適用ポリシーでブロックされない限り、再起動を必要とせずにマイクロパッチが自動的に適用されます。
「この問題について Microsoft に通知しました。Microsoft は、今後の Windows アップデートのいずれかで、サポート対象の Windows バージョン向けに公式パッチを提供する可能性が高いと考えています」と、ACROS Security の CEO であるMitja Kolsek 氏は本日述べました。
「いつものように、元のベンダーが公式パッチを提供するまで、これらのゼロデイ向けパッチを当社の無料プランに含めています。」
Microsoft の広報担当者は、本日早くに BleepingComputer からコメントを求められましたが、すぐには回答できませんでした。
