Se han publicado parches gratuitos no oficiales para una nueva
vulnerabilidad Zero-Day en Windows que permite a los atacantes bloquear el
servicio Administrador de conexión de acceso remoto (RasMan).
RasMan es un servicio crítico del sistema de Windows que se inicia
automáticamente, se ejecuta en segundo plano con privilegios de sistema y
administra VPN, Protocolo punto a punto sobre Ethernet (PPoE) y otras
conexiones de red remotas.
ACROS Security (administrador de la plataforma de microparcheo 0patch)
descubrió una nueva vulnerabilidad de denegación de servicio (DoS) mientras
investigaba
CVE-2025-59230, una vulnerabilidad de escalamiento de privilegios de RasMan en Windows, que
ya
fue parcheada en octubre.
El ataque de día cero DoS no ha recibido un ID de CVE y permanece sin
parches en todas las versiones de Windows, incluyendo Windows 7 a Windows 11
y Windows Server 2008 R2 a Server 2025.
Como descubrieron los investigadores, al combinarse con CVE-2025-59230 (o
vulnerabilidades similares de elevación de privilegios), permite a los
atacantes ejecutar código suplantando la identidad del servicio RasMan. Sin
embargo, este ataque solo funciona cuando RasMan no se está ejecutando.
La CVE-2025-59230 es una vulnerabilidad bastante simple, conceptualmente
similar a la
CVE-2025-49760, corregida recientemente. Al iniciarse, el servicio Administrador de
Conexión de Acceso Remoto («RasMan») registra un punto final RPC al que otros
servicios se conectan posteriormente y en el que confían. La vulnerabilidad
radica en que, cuando RasMan no se está ejecutando, cualquier proceso, incluso
el exploit sin privilegios del atacante, puede registrar el mismo punto
final RPC y hacer que servicios privilegiados se conecten a él y confíen en
sus respuestas. Esta confianza puede utilizarse indebidamente para ordenar a
un servicio conectado que ejecute el código del atacante.
La nueva vulnerabilidad proporciona la pieza que faltaba, permitiendo a los
actores de amenazas bloquear el servicio a voluntad y abriendo la puerta a
ataques de escalamiento de privilegios que Microsoft creía haber cerrado.
Los usuarios sin privilegios pueden explotar el ataque de día cero para
bloquear el servicio RasMan debido a un error de codificación en el
procesamiento de listas enlazadas circulares. Cuando el servicio encuentra un
puntero nulo al recorrer una lista, intenta leer memoria desde ese puntero en
lugar de salir del bucle, lo que provoca un bloqueo.
«Estamos al tanto del problema de denegación de servicio reportado y lo
abordaremos en una futura solución», declaró un portavoz de Microsoft al solicitarle más detalles.
«Los clientes que hayan aplicado los parches de octubre para CVE-2025-59230
están protegidos contra la explotación del problema para la Elevación de
Privilegios (EoP)».
Para
instalar el microparche en su dispositivo, debe crear una cuenta e instalar el agente 0Patch. Una vez iniciado, el
agente aplicará automáticamente el microparche sin necesidad de reiniciar, a
menos que una política de parches personalizada lo impida.
«Como siempre, incluimos estos parches de día cero en nuestro plan GRATUITO
hasta que el proveedor original haya proporcionado su parche oficial»,
dijo la empresa.
Fuente:
BC