TokyoBlackHatNews

esecurityplanet.com 4分で読了

Windows パッチが悪用された RasMan DoS 脆弱性を修正

Microsoft は、パッチ未適用のシステムでサービス拒否(DoS)状態を引き起こすために悪用されていた Windows リモート アクセス接続マネージャー(RasMan)サービスの脆弱性にパッチを適用しました。

悪用された場合、この脆弱性はリモート アクセス サービスをクラッシュさせ、VPN 接続を中断し、ユーザーおよび管理者のリモート アクセスに影響を与える可能性があります。

この脆弱性は「…未承認の攻撃者がローカルでサービスを拒否することを可能にします」と Microsoft はアドバイザリで述べています

RasMan 脆弱性の仕組み

RasMan は、VPN やレガシーダイヤルアップ サービスを含むリモート アクセス接続を管理する Windows のコア サービスです。 

リモート従業員、管理者、およびトンネル化されたネットワーク アクセスに依存するシステムに対して安全な接続を可能にする上で中心的な役割を果たしています。 

多くの組織がハイブリッド ワークや分散 IT 運用をサポートするために VPN インフラストラクチャに依存しているため、RasMan の中断は即座に運用上の影響をもたらす可能性があります。

CVE-2026-21525 は、RasMan サービス内の NULL ポインタ逆参照脆弱性に起因しています。 

この問題は、接続ネゴシエーション プロセス中、特に rascustom.dll または関連モジュールに関わる不適切な入力検証によって引き起こされます。 

RasMan が特別に細工された、または不正な形式のデータを処理すると、初期化されていない(NULL)ポインタを逆参照しようとする可能性があり、サービスがクラッシュします。

悪用には昇格された権限やユーザーの操作は必要ありません。 

脆弱なシステムへの基本的なローカル アクセスを持つ攻撃者は、細工された入力または不正な形式のパケットを送信して、脆弱なコード パスを繰り返しトリガーし、DoS 状態を引き起こすことができます。 

場合によっては、RasMan サービスはクラッシュ後に自動的に再起動しないため、手動介入が行われるまで接続の停止が長引く可能性があります。

Microsoft は、この脆弱性が実際に悪用されていることを確認しています。 

RasMan サービス クラッシュへの露出を減らす

組織は、パッチの展開を超えて監視とシステム強化を含む多層的なアプローチを使用して、この脆弱性に対処する必要があります。

  • 脆弱性スキャンとビルド検証を通じて、影響を受けるシステムにパッチを適用し、パッチ カバレッジを確認します。
  • 自動更新を有効にし、セキュリティ修正への継続的なアクセスを確保するために、オペレーティング システムが Microsoft のサポート ライフサイクル内にあることを確認します。
  • RasMan サービスの繰り返しのクラッシュ、予期しない再起動、異常な VPN ネゴシエーション アクティビティを監視し、障害時に自動的に再起動してアラートを発するようにサービス回復オプションを構成します。
  • rasman.exerascustom.dll などの RasMan コンポーネントと対話するプロセスを含む、疑わしいローカル アクティビティについて EDR および Windows イベント ログを確認します。
  • 最小権限を適用し、対話型ログオン権限を制限し、不要なローカル管理者アカウントを削除し、RasMan をリモート アクセスが必要なシステムに制限することで、ローカル攻撃対象領域を削減します。
  • AppLocker や Microsoft Defender Application Control などのアプリケーション制御ポリシーを実装して、未承認のスクリプトやバイナリの実行を防ぎます。
  • チームが可用性重視の攻撃を迅速に検出、封じ込め、復旧できるように、インシデント対応計画をテストします。

これらの対策を総合的に実施することで、全体的な露出を減らし、脆弱性が悪用された場合の潜在的な影響範囲を制限できます。 

RCE や権限昇格の脆弱性ではありませんが、CVE-2026-21525 は、コア インフラストラクチャ コンポーネントにおける可用性の脆弱性が積極的に悪用された場合に運用リスクを生み出す可能性があることを強調しています。 

VPN ベースのアクセスに依存する企業にとって、RasMan の持続的な中断は、管理ワークフロー、リモート生産性、およびサービスの信頼性に影響を与える可能性があります。

このようなインシデントは、多くの組織が従来の VPN 依存アーキテクチャを再検討し、接続障害の単一障害点への依存を減らすゼロトラスト ソリューションを模索している理由も浮き彫りにしています。

翻訳元: https://www.esecurityplanet.com/threats/windows-patch-fixes-exploited-rasman-dos-flaw/

ソース: esecurityplanet.com
#CVE-2026-21525 #DoS #NULL ポインタ参照 #RasMan #VPN #Windows #ゼロトラスト #パッチ #リモートアクセス #脆弱性

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布