Une faille dans Windows Remote Access Connection Manager permet l’exécution de code arbitraire

Une nouvelle vulnérabilité majeure secoue Windows. Cette faille dans le service Remote Access Connection Manager, alias RasMan, ouvre la porte à l’exécution de code arbitraire avec les privilèges système. Autant dire que les admin systèmes ont du pain sur la planche pour colmater cette brèche avant que les hackers ne s’engouffrent dedans.

Découverte lors de l’analyse de la mise à jour de sécurité d’octobre, cette vulnérabilité s’appelle CVE-2025-59230. Elle exploite un manque de contrôle dans la gestion des points d’accès RPC par RasMan. En gros, elle permet à un attaquant local d’usurper des privilèges sans grande difficulté. Et ce n’est pas tout, car un second défaut non patché complique encore la donne.

Windows Remote Access Connection Manager : un service sous haute tension

RasMan gère les connexions VPN et le protocole Point à Point sur les OS Windows, de Windows 10 à Windows Server 2025. Son fonctionnement repose sur un enregistrement précis d’endpoint RPC que d’autres services privilégiés utilisent en toute confiance. Le problème, c’est que si RasMan ne tourne pas encore, un attaquant peut s’enregistrer à la place du service et capter ces échanges.

À première vue, c’est une condition délicate à exploiter. RasMan démarre en général automatiquement au boot du système, ce qui réduit considérablement la fenêtre d’attaque. Sauf qu’une autre faille inconnue jusque-là change la donne!

Exploitation en chaîne pour une escalade de privilèges

Pour passer outre cette contrainte, le hack repose sur un second bug zero-day. Il concerne une erreur logique dans le traitement d’une liste chaînée circulaire par RasMan. Le service tente de parcourir cette liste mais ne gère pas correctement les pointeurs NULL. Résultat : un crash mémorable qui stoppe RasMan sur le champ.

En provoquant cet arrêt, l’attaquant libère l’endpoint RPC initialement réservé. Libre ensuite de s’enregistrer et de tromper les services privilégiés qu’il imite. Cette astuce ouvre la voie à une exécution de code malveillant au niveau système, une montée en puissance redoutable.

Microsoft publie un patch, mais pas la panacée

Microsoft a officiellement corrigé la faille d’élévation de privilèges CVE-2025-59230 dans ses updates d’octobre. C’est une bonne nouvelle, mais elle cache un souci sérieux : le bug qui permet de faire planter RasMan reste sans correctif officiel. Ça laisse un sacré boulevard aux attaquants avertis.

Heureusement, des micropatches proposés par le collectif 0patch pallient ce problème sur les versions prises en charge, notamment Windows 11 et Server 2025. Ces correctifs ciblent précisément la vulnérabilité de crash afin de neutraliser la première étape de l’attaque.

Urgence pour les administrateurs système et réseaux

La règle numéro un est claire : déployer sans délai les mises à jour Microsoft d’octobre. Laisser cette faille ouverte, c’est inviter les hackers à prendre le contrôle complet de vos serveurs. Les environnements vulnérables exposent vos infrastructures à des attaques ciblées aux conséquences catastrophiques.

Côté bonnes pratiques, penser à monitorer le service RasMan est crucial pour détecter toute activité anormale ou interruption suspecte. Si vous vous amusez à maintenir un lab en local, allez jeter un œil aux micropatches gratuits de 0patch en complément des correctifs officiels.

Source: cybersecuritynews.com