CVE-2026-21525

Microsoft Windows

ВЕРОЯТНОСТЬ 4.2%
Дата обнаружения

2026-02-10

Официальное описание

Microsoft Windows Remote Access Connection Manager contains a NULL pointer dereference that could allow an unauthorized attacker to deny service locally.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2026-21525 кроется в ошибке разыменования нулевого указателя (NULL pointer dereference) внутри службы диспетчера подключений удаленного доступа Microsoft Windows (Remote Access Connection Manager, также известной как RasMan).

Локальный злоумышленник, не обладающий высокими привилегиями в системе, может инициировать специально сформированный вызов к данной службе. Из-за отсутствия должной проверки указателя служба обращается к невыделенному участку памяти, что приводит к ее немедленному аварийному завершению (крэшу). В результате возникает локальный отказ в обслуживании (Denial of Service, DoS), который нарушает работу VPN-клиентов, коммутируемых подключений и других компонентов, зависящих от маршрутизации удаленного доступа на целевой машине.

Как исправить

Единственным полным и надежным способом устранения данной уязвимости является установка официального обновления безопасности от Microsoft, в котором исправлена логика проверки указателей в бинарных файлах службы RasMan.

  • Регулярно проверяйте и устанавливайте последние накопительные обновления (Cumulative Updates) через Центр обновления Windows.
  • В корпоративной среде используйте WSUS, Microsoft Endpoint Configuration Manager (SCCM) или сторонние системы управления патчами (Patch Management) для централизованного развертывания исправлений на все уязвимые конечные точки.
  • Для ручного или скриптового поиска и установки обновлений можно использовать модуль PowerShell:
Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

Если немедленная установка патча невозможна (например, требуется время на тестирование обновления в staging-среде), вы можете применить компенсирующие меры. Поскольку уязвимость эксплуатируется через службу RasMan, ее отключение полностью нейтрализует вектор атаки.

  • Определите, требуется ли функционал VPN или коммутируемых подключений на конкретных серверах или рабочих станциях.
  • Если служба не является критичной для бизнес-процессов на данном узле, остановите ее и измените тип запуска на «Отключена».
  • Для отключения службы выполните следующие команды:
Stop-Service -Name "RasMan" -Force
Set-Service -Name "RasMan" -StartupType Disabled
  • Важное примечание: Применение этой временной меры сделает невозможным установку исходящих VPN-соединений (Always On VPN, L2TP, PPTP, SSTP, IKEv2) с данного устройства до тех пор, пока служба не будет возвращена в исходное состояние. Обязательно задокументируйте это изменение и верните тип запуска в Manual или Automatic после установки официального патча.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей