Se han lanzado parches gratuitos no oficiales para una nueva vulnerabilidad Zero-Day en Windows, que permite a los atacantes bloquear el servicio Administrador de Conexión de Acceso Remoto (RasMan).

RasMan es un servicio fundamental en Windows que se inicia automáticamente y opera en segundo plano con privilegios de sistema, gestionando conexiones VPN, Protocolo punto a punto sobre Ethernet (PPoE) y otras conexiones de red remotas.

ACROS Security, que administra la plataforma de microparcheo 0patch, identificó una nueva vulnerabilidad de denegación de servicio (DoS) mientras investigaba CVE-2025-59230, una vulnerabilidad de escalamiento de privilegios en RasMan en Windows, que ya fue corregida en octubre.


El ataque de día cero DoS no tiene un ID de CVE y permanece sin parches en todas las versiones de Windows, desde Windows 7 hasta Windows 11 y Windows Server 2008 R2 hasta Server 2025.

Los investigadores descubrieron que, al combinarse con CVE-2025-59230 (o vulnerabilidades similares de elevación de privilegios), los atacantes pueden ejecutar código suplantando la identidad del servicio RasMan. Sin embargo, este ataque solo es efectivo cuando RasMan no está en funcionamiento.

La CVE-2025-59230 es una vulnerabilidad conceptualmente simple, similar a la CVE-2025-49760, recientemente corregida. Al iniciarse, RasMan registra un punto final RPC al que otros servicios se conectan y confían. La vulnerabilidad se origina en que, cuando RasMan está inactivo, cualquier proceso, incluso un exploit sin privilegios del atacante, puede registrar el mismo punto final RPC, haciendo que los servicios privilegiados se conecten y confíen en sus respuestas. Esta confianza puede ser mal utilizada para que un servicio ejecute código del atacante.

La nueva vulnerabilidad brinda la oportunidad que faltaba, permitiendo a los atacantes bloquear el servicio a voluntad y abriendo la puerta a ataques de escalamiento de privilegios que Microsoft pensaba haber mitigado.

Los usuarios sin privilegios pueden aprovechar el ataque de día cero para bloquear el servicio RasMan debido a un error de codificación en el procesamiento de listas enlazadas circulares. Cuando el servicio encuentra un puntero nulo al recorrer una lista, intenta leer memoria desde ese puntero en lugar de salir del bucle, lo que resulta en un bloqueo.

«Estamos al tanto del problema de denegación de servicio reportado y lo abordaremos en una futura solución», comentó un portavoz de Microsoft al ser consultado. «Los clientes que hayan aplicado los parches de octubre para CVE-2025-59230 están protegidos contra la explotación del problema de elevación de privilegios (EoP)».

Para instalar el microparche en su dispositivo, es necesario crear una cuenta e instalar el agente 0Patch. Una vez en funcionamiento, el agente aplicará automáticamente el microparche sin necesidad de reiniciar, a menos que una política de parches personalizada lo impida.

«Como siempre, incluimos estos parches de día cero en nuestro plan GRATUITO hasta que el proveedor original proporcione su parche oficial», afirmó la empresa dijo.

Fuente: BC

Con Información de blog.segu-info.com.ar