Ένα κρίσιμο ζήτημα ασφαλείας που αφορά το Windows Remote Access Connection Manager (RasMan) που επιτρέπει στους τοπικούς εισβολείς να εκτελούν αυθαίρετο κώδικα με δικαιώματα συστήματος.
Κατά τη διερεύνηση του CVE-2025-59230, της ευπάθειας που αντιμετώπισε η Microsoft στις ενημερώσεις ασφαλείας του Οκτωβρίου 2025. Οι αναλυτές ασφαλείας του 0patch ανακάλυψαν μια σύνθετη αλυσίδα εκμετάλλευσης που βασίζεται σε ένα δευτερεύον, προηγουμένως άγνωστο ελάττωμα zero-day για να λειτουργεί αποτελεσματικά.
Η κύρια ευπάθεια, CVE-2025-59230, επικεντρώνεται στον τρόπο με τον οποίο η υπηρεσία RasMan χειρίζεται τα τελικά σημεία RPC. Όταν ξεκινά η υπηρεσία, καταχωρεί ένα συγκεκριμένο τελικό σημείο που εμπιστεύονται άλλες προνομιακές υπηρεσίες.
Οι ερευνητές του 0patch διαπίστωσαν ότι εάν το RasMan δεν εκτελείται, ένας εισβολέας μπορεί πρώτα να καταχωρήσει αυτό το τελικό σημείο.
| Χαρακτηριστικό | Καθέκαστα |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-59230 |
| Συστατικό | Windows Remote Access Connection Manager (RasMan) |
| Τύπος ευπάθειας | Elevation of Privilege (EoP) |
| Σύγκρουση | Εκτέλεση Τοπικού Αυθαίρετου Κώδικα ως Σύστημα |
| Πλατφόρμες που επηρεάζονται | Windows 10, Windows 11, Windows Server 2008-2025 |
Μόλις οι προνομιακές υπηρεσίες επιχειρήσουν να συνδεθούν, επικοινωνούν εν αγνοία τους με τη διαδικασία του εισβολέα, επιτρέποντας την εκτέλεση κακόβουλων εντολών.
Ωστόσο, η εκμετάλλευση αυτής της συνθήκης κούρσας είναι δύσκολη επειδή το RasMan συνήθως εκκινείται αυτόματα κατά την εκκίνηση του συστήματος, αφήνοντας στους εισβολείς κανένα παράθυρο ευκαιρίας να καταχωρήσουν πρώτα το τελικό σημείο.
Για να παρακάμψει αυτόν τον περιορισμό, το exploit που ανακαλύφθηκε χρησιμοποιεί μια δεύτερη, μη επιδιορθωμένη ευπάθεια. Αυτό το ελάττωμα zero-day επιτρέπει σε έναν μη προνομιούχο χρήστη να διακόψει σκόπιμα την υπηρεσία RasMan.
Η συντριβή προκαλείται από ένα λογικό σφάλμα στον κώδικα που περιλαμβάνει μια κυκλική συνδεδεμένη λίστα. Η υπηρεσία επιχειρεί να διασχίσει τη λίστα, αλλά αποτυγχάνει να χειριστεί σωστά τους δείκτες NULL, με αποτέλεσμα παραβίαση της πρόσβασης στη μνήμη.
Με την κατάρρευση της υπηρεσίας, οι εισβολείς μπορούν να την αναγκάσουν σε κατάσταση διακοπής, να απελευθερώσουν το τελικό σημείο RPC και στη συνέχεια να ενεργοποιήσουν την αλυσίδα εκμετάλλευσης CVE-2025-59230 για να αποκτήσουν πρόσβαση στο σύστημα.
Η Microsoft κυκλοφόρησε επίσημες ενημερώσεις κώδικα για το ελάττωμα elevation-of-privilege (CVE-2025-59230). Ωστόσο, η ευπάθεια κατά της συντριβής της υπηρεσίας που χρησιμοποιήθηκε για τη διευκόλυνση της επίθεσης παρέμεινε μη επιδιορθωμένη στα επίσημα κανάλια τη στιγμή της ανακάλυψης.
0patch έχει απελευθερώθηκε micropatches για την αντιμετώπιση αυτού του φορέα σφαλμάτων σε υποστηριζόμενες πλατφόρμες, συμπεριλαμβανομένων των Windows 11 και του Server 2025.
Συνιστάται στους διαχειριστές να εφαρμόσουν αμέσως τις ενημερώσεις των Windows του Οκτωβρίου 2025 για να μετριάσουν τον κίνδυνο κλιμάκωσης των πρωταρχικών προνομίων.
