Se han publicado parches no oficiales gratuitos para una nueva vulnerabilidad Zero-Day en Windows que afecta al servicio RasMan, permitiendo bloquearlo y potencialmente permitir ataques de escalamiento de privilegios. Esta vulnerabilidad no tiene ID de CVE y afecta a versiones desde Windows 7 hasta Server 2025, y Microsoft afirma que los parches de octubre para CVE-2025-59230 protegen contra la explotación para elevación de privilegios. Los usuarios pueden instalar el microparche 0Patch sin reiniciar el sistema.

Se han publicado parches gratuitos no oficiales para una nueva vulnerabilidad Zero-Day en Windows que permite a los atacantes bloquear el servicio Administrador de conexión de acceso remoto (RasMan).

RasMan es un servicio crítico del sistema de Windows que se inicia automáticamente, se ejecuta en segundo plano con privilegios de sistema y administra VPN, Protocolo punto a punto sobre Ethernet (PPoE) y otras conexiones de red remotas.

ACROS Security (administrador de la plataforma de microparcheo 0patch) descubrió una nueva vulnerabilidad de denegación de servicio (DoS) mientras investigaba CVE-2025-59230, una vulnerabilidad de escalamiento de privilegios de RasMan en Windows, que ya fue parcheada en octubre.

El ataque de día cero DoS no ha recibido un ID de CVE y permanece sin parches en todas las versiones de Windows, incluyendo Windows 7 a Windows 11 y Windows Server 2008 R2 a Server 2025.

Como descubrieron los investigadores, al combinarse con CVE-2025-59230 (o vulnerabilidades similares de elevación de privilegios), permite a los atacantes ejecutar código suplantando la identidad del servicio RasMan. Sin embargo, este ataque solo funciona cuando RasMan no se está ejecutando.

La CVE-2025-59230 es una vulnerabilidad bastante simple, conceptualmente similar a la CVE-2025-49760, corregida recientemente. Al iniciarse, el servicio Administrador de Conexión de Acceso Remoto ("RasMan") registra un punto final RPC al que otros servicios se conectan posteriormente y en el que confían. La vulnerabilidad radica en que, cuando RasMan no se está ejecutando, cualquier proceso, incluso el exploit sin privilegios del atacante, puede registrar el mismo punto final RPC y hacer que servicios privilegiados se conecten a él y confíen en sus respuestas. Esta confianza puede utilizarse indebidamente para ordenar a un servicio conectado que ejecute el código del atacante.

La nueva vulnerabilidad proporciona la pieza que faltaba, permitiendo a los actores de amenazas bloquear el servicio a voluntad y abriendo la puerta a ataques de escalamiento de privilegios que Microsoft creía haber cerrado.

Los usuarios sin privilegios pueden explotar el ataque de día cero para bloquear el servicio RasMan debido a un error de codificación en el procesamiento de listas enlazadas circulares. Cuando el servicio encuentra un puntero nulo al recorrer una lista, intenta leer memoria desde ese puntero en lugar de salir del bucle, lo que provoca un bloqueo.

"Estamos al tanto del problema de denegación de servicio reportado y lo abordaremos en una futura solución", declaró un portavoz de Microsoft al solicitarle más detalles. "Los clientes que hayan aplicado los parches de octubre para CVE-2025-59230 están protegidos contra la explotación del problema para la Elevación de Privilegios (EoP)".

Para instalar el microparche en su dispositivo, debe crear una cuenta e instalar el agente 0Patch. Una vez iniciado, el agente aplicará automáticamente el microparche sin necesidad de reiniciar, a menos que una política de parches personalizada lo impida.

"Como siempre, incluimos estos parches de día cero en nuestro plan GRATUITO hasta que el proveedor original haya proporcionado su parche oficial", dijo la empresa.

Fuente: BC