Nowy zero-day w Windows RasMan (DoS) – darmowe, nieoficjalne łatki 0patch. Co wiemy i jak się bronić

Wprowadzenie do problemu / definicja luki

W systemach Windows wykryto nową podatność zero-day w usłudze Remote Access Connection Manager (RasMan). Błąd pozwala nieuprzywilejowanemu lokalnemu użytkownikowi doprowadzić do awaryjnego zakończenia działania usługi (DoS). Luka nie ma jeszcze identyfikatora CVE i nie została załatana przez Microsoft w momencie pisania artykułu. ACROS Security (platforma 0patch) udostępniło darmowe mikrolatki dla szerokiego zakresu wersji Windows, od 7 po 11 oraz od Windows Server 2008 R2 do Server 2025.

W skrócie

• Co: Zero-day DoS w RasMan (Windows). Brak oficjalnej łatki od Microsoft.
• Kto: Odkrycie/opracowanie obejścia – ACROS Security / 0patch; dostępne darmowe mikrolatki.
• Kiedy: Publiczne ujawnienie i mikrolatki 12 grudnia 2025 r. (CET).
• Wpływ: Lokalny DoS na RasMan; w łańcuchu z CVE-2025-59230 (EoP) pozwala na eskalację do SYSTEM (gdy RasMan nie działa).
• Zakres: Windows 7–11 i Server 2008 R2–2025 (0patch publikuje listę wspieranych buildów).
• Status: Dostępny eksploit i relacje prasowe; brak daty oficjalnej poprawki.

Kontekst / historia / powiązania

W październiku 2025 r. Microsoft załatał w RasMan CVE-2025-59230 (eskalacja uprawnień). ACROS, analizując techniki wyzyskania tej luki, zauważyło, iż skuteczny łańcuch ataku wymaga zatrzymania RasMan, aby napastnik mógł podszyć się pod jego punkt RPC. To doprowadziło do wykrycia oddzielnej, niezałatanej podatności DoS, która umożliwia lokalnemu użytkownikowi awaryjne wyłączenie RasMan na żądanie.

Analiza techniczna / szczegóły luki

• Błąd logiczny w obsłudze listy cyklicznej: podczas iteracji po circular linked list w RasMan sprawdzany jest wskaźnik na bieżący element. Gdy napastnik spowoduje, iż wskaźnik jest NULL, funkcja nie wychodzi z pętli, tylko próbuje odczytać „następny element” z adresu NULL, co kończy się naruszeniem dostępu i crashem procesu usługi. Mikrolatka 0patch dodaje warunek wyjścia przy wykryciu NULL.
• Warunki ataku: wymagany jest lokalny dostęp (bez uprawnień admina); skutkiem jest DoS RasMan. Sam w sobie błąd nie daje RCE, ale w połączeniu z luką typu EoP (np. CVE-2025-59230) umożliwia rejestrację fałszywego endpointu RPC RasMan i wykonanie poleceń z uprawnieniami SYSTEM.
• Zasięg wersji: ACROS opublikowało binarne mikrolatki dla wielu wspieranych i niewspieranych edycji Windows (w tym Windows 7/Server 2008 R2 oraz Windows 11/Server 2025).

Praktyczne konsekwencje / ryzyko

• Środowiska z VPN/PPPoE/dial-up: RasMan zarządza połączeniami zdalnymi (m.in. VPN). Crash usługi może powodować przerwy w łączności z zasobami firmowymi, utratę sesji i wpływ na SLA.
• Łańcuchowanie z EoP: Zero-day DoS jest szczególnie groźny w połączeniu z CVE-2025-59230 oraz innymi świeżymi EoP w RasMan (grudniowe CVE z kategorii EoP), co ułatwia eskalację do SYSTEM.
• Dostępność exploita / presja operacyjna: media branżowe wskazują na publicznie dostępny exploit i brak jasnej deklaracji Microsoftu co do terminu poprawki – to zwiększa ekspozycję organizacji.

Rekomendacje operacyjne / co zrobić teraz

1. Rozważ wdrożenie mikrolatek 0patch (FREE do czasu oficjalnej łatki) w środowiskach o podwyższonym ryzyku, zwłaszcza tam, gdzie RasMan jest krytyczny dla VPN. Wymaga konta i agenta 0patch; poprawki stosują się bez restartu.
2. Natychmiast załatataj i wymuś zgodność z październikową poprawką CVE-2025-59230 oraz innymi bieżącymi EoP dotyczącymi RasMan – ogranicza to możliwość łańcuchowania. (Sprawdź stan aktualizacji w narzędziach zarządzania poprawkami/WSUS/Intune).
3. Twarde ograniczenie lokalnych uprawnień:
   • Minimalizuj liczbę lokalnych kont z interaktywnym logowaniem na serwerach/VDI.
   • Egzekwuj Just-Enough-Administration i WDAC/Device Guard dla krytycznych hostów.
4. Monitoring i detekcja:
   • Alertuj na nagłe zatrzymania RasMan (np. Service Control Manager – 7031/7034) i nietypowe ponowne uruchomienia usługi. Koreluj z logami RPC/Win32k/EDR i kontami użytkowników.
   • W SOC dodaj reguły wykrywające utratę łączności VPN korelowaną z lokalnym logowaniem na hostach brzegowych.
5. Tymczasowe obejścia ryzyka operacyjnego:
   • Tam gdzie to możliwe, redukuj powierzchnię: wyłącz RasMan na hostach, które nie używają VPN/PPPoE (uważaj na zależności!).
   • Segmentuj dostęp do portów/IPC/RPC hostów z RasMan i wymuś MFA dla sesji zdalnych.
6. Gotowość na patch Microsoftu:
   • Zaplanuj pilne okno serwisowe na wdrożenie poprawki, gdy tylko się pojawi, i testy regresji dla klientów VPN i NAC.

Różnice / porównania z innymi przypadkami

• Ten zero-day dotyczy DoS (awaryjne wyłączenie RasMan), a nie bezpośredniej EoP/RCE. Ryzyko eskalacji pojawia się przy łańcuchowaniu z EoP CVE-2025-59230 (i potencjalnie innymi EoP w RasMan).
• W grudniu 2025 ZDI odnotowuje nowe CVE EoP w RasMan (inne numery niż 59230) – nie są to DoS, ale podkreślają, iż komponent pozostaje w obszarze zainteresowania badaczy/atakujących.

Podsumowanie / najważniejsze wnioski

• Zero-day DoS w RasMan pozostaje niezałatany przez Microsoft; dostępne są darmowe mikrolatki 0patch dla szerokiego spektrum wersji Windows.
• Największe ryzyko wynika z łańcuchowania tej luki z CVE-2025-59230 (EoP) – daje to realną drogę do SYSTEM. Priorytetem jest pełna zgodność patchowa i monitoring usług.
• Organizacje zależne od VPN przez Windows powinny rozważyć tymczasowe wdrożenie 0patch, wzmocnić kontrole dostępu lokalnego i telemetrię usług, a także przygotować się na szybkie wdrożenie oficjalnej łatki, gdy się ukaże.

Źródła / bibliografia

• BleepingComputer – „New Windows RasMan zero-day flaw gets free, unofficial patches”, 12 grudnia 2025. (BleepingComputer)
• 0patch (ACROS Security) – „Free Micropatches for Windows Remote Access Connection Manager DoS (0day)”, 12 grudnia 2025. (0patch Blog)
• NVD – CVE-2025-59230 szczegóły (EoP w RasMan), październik 2025. (NVD)
• The Register – „Microsoft RasMan 0-Day gets unofficial patch; working exploit out”, 12 grudnia 2025. (The Register)
• ZDI – „The December 2025 Security Update Review” (lista CVE, w tym nowe EoP w RasMan), 9 grudnia 2025. (Zero Day Initiative)