آسیب‌پذیری Windows Remote Access Connection Manager و اجرای کد دلخواه با امتیازات SYSTEM

تحلیلگران امنیتی در 0patch یک زنجیره سوءاستفاده پیچیده را کشف کردند که به مهاجمان محلی اجازه می‌دهد تا با استفاده از یک آسیب‌پذیری بحرانی در سرویس Windows Remote Access Connection Manager (RasMan)، کد دلخواه را با امتیازات SYSTEM اجرا کنند. این زنجیره متکی به یک نقص وصله‌شده (CVE-2025-59230) و یک نقص جدید و وصله‌نشده (Zero-day) برای تکمیل حمله است.

---

 مکانیسم حمله دو مرحله‌ای

این حمله از ترکیب دو نقص برای دور زدن محدودیت‌های زمانی استفاده می‌کند:

1. آسیب‌پذیری اولیه (CVE-2025-59230): ارتقاء امتیاز

   • این نقص که مایکروسافت آن را در به‌روزرسانی‌های اکتبر ۲۰۲۵ اصلاح کرد، بر نحوه مدیریت نقاط پایانی RPC (RPC Endpoints) توسط سرویس RasMan متمرکز بود.

   • زمانی که RasMan فعال نیست، مهاجم می‌تواند نقطه پایانی خاصی را زودتر از سرویس ثبت کند. در نتیجه، سرویس‌های دارای امتیاز بالا که تلاش می‌کنند به RasMan متصل شوند، ناآگاهانه با فرآیند مهاجم ارتباط برقرار می‌کنند و امکان اجرای دستورات مخرب را فراهم می‌کنند.

   • مشکل بهره‌برداری: از آنجایی که RasMan به طور خودکار هنگام راه‌اندازی سیستم شروع به کار می‌کند، ایجاد پنجره‌ای برای مهاجم جهت ثبت زودتر نقطه پایانی، دشوار بود.

2. آسیب‌پذیری ثانویه (Zero-Day): از کار انداختن سرویس

   • برای دور زدن محدودیت زمانی، زنجیره سوءاستفاده متکی به یک آسیب‌پذیری دوم و وصله‌نشده بود.

   • این نقص از یک خطای منطقی در کد RasMan (مربوط به یک لیست پیوندی حلقوی) ناشی می‌شود که به یک کاربر فاقد امتیاز اجازه می‌دهد تا عمداً سرویس RasMan را Crash کند.

   • با از کار انداختن سرویس، نقطه پایانی RPC آزاد می‌شود و مهاجم می‌تواند به‌راحتی فرصت بهره‌برداری از CVE-2025-59230 و دستیابی به دسترسی SYSTEM را به دست آورد.

---

 وضعیت وصله‌ها و توصیه‌های امنیتی

• پلتفرم‌های آسیب‌دیده: Windows 10، Windows 11، و Windows Server 2008 تا ۲۰۲۵.

• وضعیت وصله مایکروسافت: مایکروسافت وصله رسمی برای نقص اولیه (CVE-2025-59230) را منتشر کرده است، اما نقص Zero-day که برای از کار انداختن سرویس استفاده می‌شود، در کانال‌های رسمی مایکروسافت وصله‌نشده باقی مانده بود.

• راهکار 0patch: شرکت 0patch که ارائه‌دهنده راه‌حل‌های وصله کوچک (Micropatch) است، وصله‌هایی را برای رفع آسیب‌پذیری Crash که حمله را تسهیل می‌کند، برای پلتفرم‌های پشتیبانی شده منتشر کرده است.

• توصیه: مدیران سیستم باید به‌روزرسانی‌های امنیتی اکتبر ۲۰۲۵ و پس از آن را برای کاهش خطر اولیه ارتقاء امتیاز، فوراً اعمال کنند. همچنین، در صورت امکان، اعمال Micropatchهای 0patch برای بستن کامل زنجیره سوءاستفاده توصیه می‌شود.