Windows RasMan ゼロデイ脆弱性の概要
Microsoft Windows のリモートアクセス接続マネージャー (RasMan) サービスにおいて、新たなゼロデイ脆弱性が発見されました。この脆弱性は、攻撃者が RasMan サービスをクラッシュさせることを可能にするサービス拒否 (DoS) の問題です。RasMan は、SYSTEMレベルの特権でバックグラウンドで動作し、VPNやPPoEなどのリモートネットワーク接続を管理する重要なWindowsシステムサービスです。
この脆弱性は、マイクロパッチングプラットフォームを運営するACROS Security (0patch) が、10月にパッチが適用されたWindows RasManの特権昇格脆弱性CVE-2025-59230を調査中に発見しました。現在、このDoSゼロデイ脆弱体にはCVE IDが割り当てられておらず、Windows 7からWindows 11、およびWindows Server 2008 R2からServer 2025を含む、すべてのWindowsバージョンで未パッチの状態です。
脆弱性の詳細と攻撃シナリオ
研究者らによると、この新たな脆弱性はCVE-2025-59230(または同様の特権昇格の欠陥)と組み合わせることで、攻撃者がRasManサービスを停止させ、サービスが停止している場合にのみ可能であった特権昇格攻撃を実行するための道を開きます。これにより、Microsoftが解決したと考えていた特権昇格攻撃が再び可能になる可能性があります。
具体的には、未特権ユーザーがRasManサービスをクラッシュさせることが可能となるのは、巡回リンクリストの処理方法におけるコーディングエラーが原因です。サービスがリストをたどる際にヌルポインタに遭遇すると、ループを終了する代わりにそのポインタからメモリを読み取ろうとし、結果としてクラッシュを引き起こします。
0patchによる緊急の非公式パッチ
ACROS Securityは、このWindows RasManゼロデイ脆弱性に対し、無料の非公式セキュリティパッチを0patchマイクロパッチングサービスを通じて提供しています。これにより、Microsoftが公式の修正をリリースするまでの間、影響を受けるすべてのWindowsバージョンで保護を受けられます。
このマイクロパッチをデバイスにインストールするには、アカウントを作成し、0patchエージェントをインストールする必要があります。エージェントを起動すると、カスタムパッチ適用ポリシーによってブロックされない限り、再起動なしで自動的にマイクロパッチが適用されます。
ACROS SecurityのCEO、Mitja Kolsek氏は、「この問題をMicrosoftに警告しました。彼らはおそらく、今後サポートされるWindowsバージョン向けに、将来のWindowsアップデートで公式パッチを提供するでしょう」と述べています。0dayパッチは、ベンダーが公式パッチを提供するまで、0patchの無料プランに含まれています。