CVE-2025-59230

Microsoft Windows

ВЕРОЯТНОСТЬ 3.7%
Дата обнаружения

2025-10-14

Официальное описание

Microsoft Windows contains an improper access control vulnerability in Windows Remote Access Connection Manager which could allow an authorized attacker to elevate privileges locally.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-59230 связана с некорректным управлением доступом (Improper Access Control) в службе диспетчера подключений удаленного доступа Windows (Windows Remote Access Connection Manager, также известной как RasMan).

Служба RasMan отвечает за управление подключениями VPN и коммутируемыми соединениями. Из-за недостаточных проверок прав доступа локальный авторизованный злоумышленник (имеющий базовые права пользователя в системе) может проэксплуатировать эту уязвимость для повышения своих привилегий до уровня NT AUTHORITY\SYSTEM. Это позволяет полностью скомпрометировать рабочую станцию или сервер, установить бэкдоры, отключить средства защиты и получить доступ к конфиденциальным данным.

Как исправить

Единственным надежным способом устранения данной уязвимости является установка официального обновления безопасности от Microsoft.

  1. Перейдите на портал Microsoft Security Update Guide и найдите патч, соответствующий вашей версии ОС Windows, по идентификатору CVE-2025-59230.
  2. Разверните обновление через вашу систему управления патчами (WSUS, SCCM, Intune) или установите его вручную.
  3. Для ручного поиска и установки обновлений через PowerShell используйте модуль PSWindowsUpdate. Сначала установите модуль:
Install-Module -Name PSWindowsUpdate -Force -SkipPublisherCheck
  1. Затем запустите поиск и установку всех доступных обновлений безопасности с автоматической перезагрузкой:
Install-WindowsUpdate -AcceptAll -AutoReboot
  1. После перезагрузки убедитесь, что обновление успешно установлено, проверив список установленных KB:
Get-HotFix

Временные меры

Если немедленная установка патча невозможна (например, требуется время на тестирование в staging-среде), необходимо применить компенсирующие меры.

Внимание: Данная мера приведет к неработоспособности VPN-подключений (включая Always On VPN, L2TP, PPTP, SSTP) и коммутируемых соединений на целевом хосте. Применяйте ее только там, где функционал удаленного доступа не является критичным для бизнес-процессов.

  1. Остановите и отключите службу Windows Remote Access Connection Manager (RasMan).
  2. Для этого выполните следующие команды от имени Администратора:
Stop-Service -Name RasMan -Force


Set-Service -Name RasMan -StartupType Disabled
  1. Настройте правила мониторинга в вашей SIEM/EDR системе для отслеживания:
  2. Попыток несанкционированного запуска службы RasMan.
  3. Аномальной активности дочерних процессов, порожденных процессом svchost.exe, в котором хостится RasMan.
  4. Нетипичных обращений к RPC-интерфейсам службы RasMan от непривилегированных пользователей.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей