Une faille dans Windows Remote Access Connection Manager permet l’exécution de code arbitraire

Microsoft se retrouve encore dans le viseur avec une faille critique dans le service Windows Remote Access Connection Manager, alias RasMan. Cette vulnérabilité, non patchée pour l’instant, ouvre la porte à l’exécution de code arbitraire avec des privilèges système. Un vrai cauchemar pour les administrateurs qui voient leurs machines exposées au pire des scénarios.

La faiblesse s’appuie sur un mécanisme d’enregistrement des points d’accès RPC du service RasMan. Une autre vulnérabilité corrigée en octobre 2025 avait déjà montré les limites de cette approche. Le problème ? Lorsque RasMan ne tourne pas, un attaquant sans droits peut s’immiscer et s’approprier ce point d’accès pour faire tourner du code malveillant en admin.

Mais ce n’est pas tout. Une nouvelle faille rend ce scénario réellement exploitable. En tirant parti d’un bug dans la gestion des listes chaînées circulaires du service, un pirate peut faire planter RasMan à coup sûr. Une fois à terre, il reprend le contrôle du point RPC avant le redémarrage. La double peine, en somme !

Windows Remote Access Connection Manager : un service critique sous pression

RasMan, ce n’est pas un service anodin. Il gère les connexions VPN et PPP, tourne en tâche de fond avec des privilèges SYSTEM, bref c’est le nerf de la guerre pour les accès distants. En temps normal, RasMan se lance automatiquement au boot. Ça rend la tâche des attaquants compliquée pour planter le service et s’infiltrer avant qu’il ne redémarre.

Là où la faille fait mal, c’est dans le traitement des listes circulaires. Le code passe en revue ces structures en boucle sans vérifier sérieusement la présence de pointeurs nuls. C’est la porte ouverte à une violation d’accès mémoire qui fait crasher RasMan sans pitié.

Une faille technique mais avec des conséquences systémiques

Ce bug n’est pas un simple détail de programmation, c’est une erreur de logique dans le code. Les développeurs ont pris pour acquis que ces listes seraient toujours bien formées. L’absence d’un contrôle rigoureux offre un levier direct aux hackers pour faire planter un service critique.

Avec RasMan à terre, le mécanisme d’enregistrement RPC bascule en mode vulnérable. Un acteur malintentionné peut alors s’imposer sur ce point, contourner les restrictions et obtenir des privilèges SYSTEM. Le résultat ? Exécution de code arbitraire capable de prendre la main complète sur le système ciblé.

Des correctifs non officiels et une attente côté Microsoft

Face à ce problème, la société 0patch a dégainé des micropatchs disponibles pour toutes les versions touchées, de Windows 7 jusqu’aux derniers Windows Server 2025. Ces rustines temporaires ajoutent une sortie propre de boucle pour éviter le crash du service.

Microsoft, informé de la faille, prépare des mises à jour officielles. Jusqu’à leur sortie, les sysadmins n’ont pas d’autre choix que de jongler avec ces correctifs alternatifs et de surveiller de près la santé du service RasMan.

Cela rappelle combien la surveillance proactive et la maîtrise de son parc restent indispensables. On n’est jamais à l’abri de surprises, surtout sur des services aussi stratégiques que RasMan. L’IT ne plaisante pas, et les jeunes admins doivent vite comprendre qu’un outil qui plante mal, c’est le début des emmerdes.

L’enjeu pour les entreprises et les infrastructures critiques

Ces vulnérabilités ne sont pas des détails techniques pour geeks. Elles compromettent des réseaux entiers, surtout quand RasMan gère les VPN et points d’accès à distance pour des milliers d’usagers. Un exploit réussi, c’est la clé de tout un système, à la portée d’un pirate malin.

La difficulté pour l’attaquant reste la fenêtre temporelle. RasMan redémarre vite et souvent, donc planter le service au bon moment et s’imposer avant son redémarrage exige de la persévérance. C’est justement cette double vulnérabilité qui donne cet avantage stratégique aux agresseurs.

La morale ici : on ne badine pas avec les services systèmes. La moindre faille peut dégénérer en compromission totale. Si vous gérez du Windows en production, vérifiez que vos systèmes intègrent les derniers patchs et réfléchissez à des solutions temporaires proposées par la communauté en attendant Microsoft.

Source: cyberpress.org