Исследователи кибербезопасности обнаружили новую критическую уязвимость нулевого дня в операционных системах Microsoft Windows. Эта брешь, ещё не закрытая официальным обновлением, позволяет злоумышленнику с низкими привилегиями повысить свои права в системе до уровня администратора. Открытие было сделано в ходе анализа недавно исправленной уязвимости CVE-2025-59230, патч для которой был выпущен в октябре 2025 года.
Детали уязвимости
CVE-2025-59230 представляет собой уязвимость повышения привилегий в компоненте Windows Remote Access Connection Manager (RasMan), концептуально схожую с ранее известной CVE-2025-49760. Проблема затрагивает широкий спектр систем, включая Windows 7, 10, 11 и серверные версии от 2008 R2 до 2025 года. Уязвимость связана с тем, что служба RasMan регистрирует конечную точку удалённого вызова процедур (RPC) при запуске, к которой впоследствии подключаются и которой доверяют другие привилегированные службы. Соответственно, если RasMan не работает, непривилегированный атакующий может зарегистрировать эту же конечную точку самостоятельно и использовать отношения доверия для выполнения вредоносного кода с повышенными правами.
Однако успешная эксплуатация CVE-2025-59230 на практике сталкивалась с серьёзным препятствием. Дело в том, что служба RasMan обычно запускается автоматически при загрузке Windows, что делало практически невозможным для злоумышленника первым зарегистрировать вредоносную конечную точку. Именно здесь в игру вступает вторая, ранее неизвестная уязвимость, которая меняет баланс сил. Исследователи выяснили, что атакующие могут принудительно завершить работу службы RasMan, воспользовавшись ошибкой программирования в её алгоритме обработки циклических связных списков.
Технический анализ показал, что уязвимость возникает из-за логической ошибки при обходе такого списка. Код проверяет, является ли указатель на текущий элемент нулевым (NULL), но не предусматривает корректного выхода из цикла при обнаружении этого условия. Вместо этого выполнение продолжается, и программа пытается прочитать следующий элемент списка из нулевого указателя. Это приводит к нарушению доступа к памяти и аварийному завершению (крашу) службы RasMan. Ошибка, по-видимому, основана на предположении разработчиков, что циклические связные списки всегда корректно сформированы. Хотя программист добавил проверку на NULL в качестве меры предосторожности, этот сценарий, вероятно, никогда не тестировался должным образом, поскольку все тестовые случаи использовали только валидные списки.
Таким образом, связка двух уязвимостей образует мощный вектор атаки. Сначала злоумышленник использует ошибку в логике обхода списка, чтобы вызвать краш службы RasMan. После её остановки он получает возможность зарегистрировать поддельную RPC-конечную точку. Когда другие доверенные системные службы попытаются подключиться к ней, атакующий сможет внедрить и выполнить свой вредоносный код с высокими привилегиями, что потенциально ведёт к полному контролю над системой.
На данный момент официального исправления от Microsoft для уязвимости нулевого дня не выпущено. Однако компания 0patch, специализирующаяся на микропатчах, уже разработала и предоставила временные решения для всех версий Windows, от Windows 7 до Windows Server 2025. Их патч добавляет корректную проверку, которая обеспечивает выход из цикла при обнаружении нулевого указателя, предотвращая аварийное завершение службы. Microsoft уведомлена о проблеме, и ожидается, что официальное исправление будет включено в одно из ближайших ежемесячных обновлений безопасности для поддерживаемых версий ОС.
Для организаций, которые всё ещё используют неподдерживаемые версии Windows, такие как Windows 7 или Server 2008 R2, подобные сторонние решения становятся критически важными. Они позволяют поддерживать защиту от новых угроз после прекращения официальной поддержки. Эксперты рекомендуют администраторам следить за выпуском официального обновления от Microsoft. До его появления следует оценить риски и рассмотреть возможность применения временных мер, особенно на критически важных системах, подверженных данной уязвимости. Этот случай в очередной раз подчёркивает сложность обеспечения безопасности и важность защиты механизмов постоянства (persistence) системных служб в операционных системах.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-59230
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59230
- https://blog.0patch.com/2025/12/free-micropatches-for-windows-remote.html
