{"id":319259,"date":"2025-12-13T01:48:18","date_gmt":"2025-12-13T00:48:18","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=319259"},"modified":"2025-12-13T07:34:43","modified_gmt":"2025-12-13T06:34:43","slug":"windows-remote-access-connection-manager-0-day-fix","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/12\/13\/windows-remote-access-connection-manager-0-day-fix\/","title":{"rendered":"Windows Remote Access Connection Manager 0-Day-Fix"},"content":{"rendered":"

\"Windows\"Im Windows Remote Access Connection Manager (RasMan) gibt es eine 0-day-Schwachstelle. Angreifer k\u00f6nnten den RasMan-Dienst per DDoS zum Absturz bringen. Es gibt keine CVE-Nummer und Microsoft bietet bisher keinen Fix. Es gibt aber einen Micropatch von ACROS Security, der das Ganze \u00fcber 0patch absichert, und – bis zum Patch von Microsoft – sogar in der FREE-Version des 0patch-Agenten verteilt wird.<\/p>\n

<\/p>\n

Ein Blick auf eine alte Schwachstelle<\/h2>\n

\"\"Zum 14. Oktober 2025 hat Microsoft die Schwachstelle CVE-2025-59230<\/a> im Windows Remote Access Connection Manager durch Sicherheits-Updates geschlossen. Ich hatte im Beitrag Microsoft Security Update Summary (14. Oktober 2025)<\/a> \u00fcber die\u00a0 Elevation of Privileg-Schwachstelle (CVEv3 Score 7.8, Important) berichtet. Laut Microsoft wurde diese Sicherheitsl\u00fccke im Windows Remote Access Connection Manager bereits in der Praxis ausgenutzt. Die Ausnutzung dieser Sicherheitsl\u00fccke k\u00f6nnte einem lokalen Angreifer erm\u00f6glichen, SYSTEM-Rechte zu erlangen. Aber diese Schwachstelle wurde mit den Oktober 2025-Sicherheits-Updates beseitigt.<\/p>\n

Eine neue Schwachstelle entdeckt<\/h2>\n

Bei der Untersuchung der Schwachstelle CVE-2025-59230 im Windows Remote Access Connection Manager haben die Spezialisten von ACROS Security aber ein weiteres Problem gefunden. Sie konnten einen Exploit erstellen, der die lokale Ausf\u00fchrung von beliebigem Code als lokales System demonstrierte, wenn er als Windows-Benutzer ohne Administratorrechte gestartet wurde.<\/p>\n

Interessanterweise enthielt dieser Exploit \u2013 obwohl er CVE-2025-59230 ausnutzte \u2013 auch einen Exploit f\u00fcr eine andere Sicherheitsl\u00fccke, die bis heute ungeschlossen geblieben ist, schreiben die Spezialisten von ACROS Security im Beitrag\u00a0Free Micropatches for Windows Remote Access Connection Manager DoS (0day)<\/a>. \u00dcber diese Schwachstelle, f\u00fcr die noch kein CVE existiert, kann ein nicht privilegierter Benutzer den RasMan-Dienst zum Absturz bringen. Details finden sich im verlinkten Beitrag.<\/p>\n

Es gibt einen\u00a00-Day-Fix<\/h2>\n

ACROS Security hat Microsoft \u00fcber dieses Problem informiert. Redmond wird wahrscheinlich in einem der n\u00e4chsten Windows-Updates einen offiziellen Patch f\u00fcr noch unterst\u00fctzte Windows-Versionen bereitstellen.<\/p>\n

\"RasMan<\/a><\/p>\n

Mitja Kolsek von ACROS Security hat mich vor einigen Stunden \u00fcber obigen Tweet<\/a> auf den im Beitrag Free Micropatches for Windows Remote Access Connection Manager DoS (0day)<\/a> beschriebenen Sachverhalt aufmerksam gemacht. Die Sicherheitsspezialisten haben einen Micropatch entwickelt, der Microsofts Programmlogik in RasMan um eine weitere Pr\u00fcfung erg\u00e4nzt und so die 0-day-Schwachstelle beseitigt. Der Micropatch steht \u00fcber den 0patch-Agenten f\u00fcr folgende Windows-Versionen bereit:<\/p>\n

    \n
  1. Windows 11 v25H2 – fully updated<\/li>\n
  2. Windows 11 v24H2 – fully updated<\/li>\n
  3. Windows 11 v23H2 – fully updated<\/li>\n
  4. Windows 11 v22H2 – fully updated<\/li>\n
  5. Windows 11 v21H2 – fully updated<\/li>\n
  6. Windows 10 v22H2 – fully updated<\/li>\n
  7. Windows 10 v21H2 – fully updated<\/li>\n
  8. Windows 10 v21H1 – fully updated<\/li>\n
  9. Windows 10 v20H2 – fully updated<\/li>\n
  10. Windows 10 v2004 – fully updated<\/li>\n
  11. Windows 10 v1909 – fully updated<\/li>\n
  12. Windows 10 v1809 – fully updated<\/li>\n
  13. Windows 10 v1803 – fully updated<\/li>\n
  14. Windows 7 – fully updated with no ESU, ESU 1, ESU 2 or ESU 3<\/li>\n
  15. Windows Server 2008 R2 – fully updated with no ESU, ESU 1, ESU 2, ESU 3 or ESU 4<\/li>\n
  16. Windows Server 2012 – fully updated with no ESU or ESU 1<\/li>\n
  17. Windows Server 2012 R2 – fully updated with no ESU or ESU 1<\/li>\n
  18. Windows Server 2016 – fully updated<\/li>\n
  19. Windows Server 2019 – fully updated<\/li>\n
  20. Windows Server 2022 – fully updated<\/li>\n
  21. Windows Server 2025\u00a0– fully updated<\/li>\n<\/ol>\n

    Die Micropatches wurden bereits an alle betroffenen Systeme, die mit dem 0patch-Agenten online gegangen sind, verteilt. Diese Systeme sind also gesch\u00fctzt. Die Verteilung des Micropatches erfolgte f\u00fcr FREE-, PRO- oder Enterprise-Konten. Der Patch wird dort angewendet (sofern dies nicht durch Enterprise-Gruppeneinstellungen verhindert wurde). ACROS Security stellt den Micropatch solange im 0patcj FREE-Tarif bereit, bis Microsoft einen offiziellen Patch bereitgestellt hat.<\/p>\n

    Informationen zu 0patch gibt es auf dieser Webseite<\/a>.\u00a0ACROS Security schreibt, dass etwa 40 % seiner Kunden 0patch auf noch unterst\u00fctzten Windows-Versionen wie Windows 11 25H2 und Server 2025 als zus\u00e4tzlichen Schutz vor 0-Day-Angriffen einsetzen. Hinweise zum 0patch-Konzept habe ich in den nachfolgenden Blog-Beitr\u00e4gen gegeben.<\/p>\n

    \u00c4hnliche Artikel:
    \n<\/strong>    Windows 7\/Server 2008 R2: 0Patch-Support bis Januar 2027<\/a>
    \n    Windows 10: 0patch sorgt f\u00fcr 5 Jahre Zusatzsupport<\/a>
    \n    0patch sichert Microsoft Office 2016 und 2019 nach Oktober 2025<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    Im Windows Remote Access Connection Manager (RasMan) gibt es eine 0-day-Schwachstelle. Angreifer k\u00f6nnten den RasMan-Dienst per DDoS zum Absturz bringen. Es gibt keine CVE-Nummer und Microsoft bietet bisher keinen Fix. Es gibt aber einen Micropatch von ACROS Security, der das … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,301],"tags":[4328,3836,3288],"class_list":["post-319259","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-windows","tag-sicherheit","tag-software","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/319259","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=319259"}],"version-history":[{"count":4,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/319259\/revisions"}],"predecessor-version":[{"id":319263,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/319259\/revisions\/319263"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=319259"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=319259"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=319259"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}