Windowsのリモートアクセス接続マネージャー(RasMan)サービスに新たに発見された欠陥により、管理者権限なしでオペレーティングシステムを妨害できることが判明しました。Microsoftが公式の修正を準備している一方で、無料の非公式修正がすでに利用可能になっています。
RasManはWindowsの中核サービスで、自動的に起動し、SYSTEM権限で動作し、VPN、PPPoE、その他のリモートネットワーク接続を管理します。0patchマイクロパッチングプラットフォームを運営するACROS Securityの研究者らは、別のRasManの権限昇格脆弱性であり、すでに悪用されていてMicrosoftが10月に修正したCVE-2025-59230を分析している際に、このゼロデイ問題を発見しました。
新たに特定された欠陥はサービス拒否(DoS)カテゴリに属し、攻撃者が意図的にRasManサービスをクラッシュさせることを可能にします。この問題にはまだCVE識別子が割り当てられていません。Windows 7から11までのすべてのバージョンと、Windows Server 2008 R2からServer 2025までのリリースが影響を受けます。ACROS Securityによると、この問題はCVE-2025-59230や類似の権限昇格バグと組み合わせることで、RasManサービスになりすましてコード実行を達成する攻撃を可能にしますが、それはRasManが動作していない場合に限られます。サービスを強制的に停止できるようになることでこのギャップが埋められ、攻撃者はRasManを任意に無効化し、以前は緩和されたと考えられていた昇格経路を再び開くことができます。
クラッシュは循環リンクリストの処理エラーによって引き起こされます。このようなリストを走査する際、サービスがヌルポインタに遭遇する可能性があり、本来であればループを正常に抜けるべきところを、それを逆参照しようとしてプロセス障害につながります。
ACROS Securityは、影響を受けるすべてのシステム向けに、0patchを通じて無料のマイクロパッチを公開しました。適用にはアカウント登録と0patchエージェントのインストールが必要で、その後エージェントが自動的に修正を展開します。通常、パッチ適用ポリシーによる制限がない限り、システムの再起動は不要です。
ACROS SecurityのCEOであるMitja Kolsek氏は、Microsoftにはすでに通知済みであり、サポート対象のWindowsバージョン向けの公式修正が今後のアップデートで提供される見込みだと述べています。
