Er zijn gratis, onofficiële patches beschikbaar voor een nieuwe Windows-kwetsbaarheid waardoor aanvallers de Remote Access Connection Manager (RasMan) service kunnen laten crashen.

RasMan is een essentiële Windows-systeemdienst die automatisch start, op de achtergrond draait met SYSTEM-rechten, en VPN, Point-to-Point Protocol over Ethernet (PPoE) en andere externe netwerkverbindingen beheert.

ACROS Security, beheerder van het 0patch micropatching-platform, ontdekte een nieuw denial-of-service (DoS) probleem tijdens onderzoek naar CVE-2025-59230. Dit is een kwetsbaarheid in de Windows RasMan waarop in oktober gericht was aangevallen en die toen werd gepatcht.

De DoS zero-day heeft nog geen CVE-ID gekregen en is ongepatcht in alle Windows-versies, van Windows 7 tot en met Windows 11, en van Windows Server 2008 R2 tot Server 2025.

Onderzoekers ontdekten dat in combinatie met CVE-2025-59230 (of soortgelijke fouten met verhoogde privileges) aanvallers code kunnen uitvoeren door zich voor te doen als de RasMan-dienst. Dit lukt echter alleen als RasMan niet draait.

De nieuwe kwetsbaarheid vult dit cruciale gat, waardoor dreigingsactoren de dienst naar wens kunnen laten crashen en zo mogelijkheden openen voor privilege-escalatieaanvallen die Microsoft dacht te hebben afgesloten.

Gebruikers zonder speciale rechten kunnen de zero-day misbruiken om RasMan te laten crashen vanwege een programmeerfout in hoe hij cirkelvormige gekoppelde lijsten verwerkt. Wanneer de dienst een null pointer tegenkomt bij het doorlopen van een lijst, probeert hij geheugen te lezen van die pointer in plaats van de lus te verlaten, wat tot een crash leidt.

ACROS Security biedt nu gratis, onofficiële beveiligingspatches voor deze Windows RasMan zero-day aan via hun 0Patch micropatching service voor alle getroffen Windows-versies totdat Microsoft een officiële oplossing uitbrengt.

Om de micropatch op je apparaat te installeren, moet je een account aanmaken en de 0Patch-agent installeren. Zodra deze is gestart, wordt de micropatch automatisch toegepast zonder dat een herstart nodig is, tenzij een aangepast patchbeleid dit blokkeert.

“We hebben Microsoft op de hoogte gebracht van dit probleem; ze zullen waarschijnlijk binnenkort een officiële patch leveren voor nog ondersteunde Windows-versies”, aldus ACROS Security CEO Mitja Kolsek vandaag.

“Zoals altijd hebben we deze zero-day patches opgenomen in ons GRATIS-plan totdat de oorspronkelijke leverancier hun officiële patch heeft geleverd.”

Een woordvoerder van Microsoft was niet direct beschikbaar voor commentaar toen BleepingComputer eerder vandaag contact opnam.