Resumo
Pesquisadores da 0patch documentaram uma cadeia de exploração que transforma a falha rastreada como CVE-2025-59230 no serviço Remote Access Connection Manager (RasMan) do Windows em execução arbitrária de código com privilégios SYSTEM, quando combinada com um segundo zero‑day que permite derrubar o serviço.
Descoberta e escopo / O que mudou agora
CVE-2025-59230 foi tratado pela Microsoft nas atualizações de outubro de 2025; a vulnerabilidade afeta o componente RasMan e permite elevação de privilégios por meio do abuso de endpoints RPC que o serviço registra ao iniciar. A 0patch identificou uma cadeia de exploração que só funciona se um atacante conseguir registrar primeiro esse endpoint — algo possível caso o serviço RasMan esteja parado.
Vetor e exploração / Mitigações
A 0patch descreve um vetor de exploração que usa duas etapas: (1) um atacante registra o endpoint RPC confiado por serviços privilegiados quando RasMan não está em execução; (2) quando esses serviços se conectam, passam a falar com o processo do atacante, que então executa comandos com privilégios elevados. Na prática, RasMan costuma iniciar automaticamente no boot, o que dificulta a exploração direta.
Para contornar essa limitação, os pesquisadores encontraram um segundo bug — um zero‑day não documentado nos canais oficiais na época da descoberta — que causa a queda intencional do serviço por conta de um erro de lógica ao percorrer uma lista ligada circular, resultando em violação de acesso de memória. Ao forçar o serviço a parar, o atacante ganha janela para registrar o endpoint e acionar CVE‑2025‑59230.
Mitigações citadas na fonte:
- Aplicar imediatamente as atualizações de outubro de 2025 publicadas pela Microsoft para mitigar CVE‑2025‑59230.
- 0patch publicou micropatches gratuitos para tratar o vetor de queda do serviço em plataformas suportadas, incluindo Windows 11 e Server 2025 — isso reduz a janela de exploração caso a correção oficial ainda não esteja disponível.
Impacto e alcance / Setores afetados
A falha principal (CVE‑2025‑59230) foi classificada como elevação de privilégio permitindo execução de código local como SYSTEM. Plataformas explicitamente citadas como afetadas incluem Windows 10, Windows 11 e Windows Server 2008–2025. O impacto real depende do contexto: um atacante já com acesso local não privilegiado poderia subir para SYSTEM; em ambientes gerenciados, servidores e estações com políticas que permitam contas locais contaminar esse vetor.
Limites das informações / O que falta saber
O relatório disponível não detalha exploits públicos amplamente disseminados além da prova de conceito analítica da 0patch; tampouco há indicação na fonte de métricas de exploração em massa ou casos de ataque confirmados em produção além da demonstração técnica. A existência de um segundo zero‑day usada na cadeia foi documentada pela 0patch, mas — segundo a própria fonte — esse segundo bug ainda não constava entre correções oficiais da Microsoft no momento da divulgação.
Repercussão / Próximos passos
Administradores devem priorizar a aplicação das atualizações de outubro de 2025 e avaliar a utilização dos micropatches da 0patch como mitigação temporária para o vetor de queda do serviço. Auditorias de configuração que evitem contas com credenciais fracas e monitoramento de eventos de serviço e criação de endpoints RPC ajudam a reduzir risco.
Referência técnica
Fonte principal: Cyber Security News (reportagem citando análise da 0patch). CVE referenciado: CVE-2025-59230.