Windows Remote Access Connection Manager 0-Day-Fix

Veröffentlicht am 13. Dezember 2025 von Günter Born

WindowsIm Windows Remote Access Connection Manager (RasMan) gibt es eine 0-day-Schwachstelle. Angreifer könnten den RasMan-Dienst per DDoS zum Absturz bringen. Es gibt keine CVE-Nummer und Microsoft bietet bisher keinen Fix. Es gibt aber einen Micropatch von ACROS Security, der das Ganze über 0patch absichert, und – bis zum Patch von Microsoft – sogar in der FREE-Version des 0patch-Agenten verteilt wird.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Ein Blick auf eine alte Schwachstelle

Zum 14. Oktober 2025 hat Microsoft die Schwachstelle CVE-2025-59230 im Windows Remote Access Connection Manager durch Sicherheits-Updates geschlossen. Ich hatte im Beitrag Microsoft Security Update Summary (14. Oktober 2025) über die  Elevation of Privileg-Schwachstelle (CVEv3 Score 7.8, Important) berichtet. Laut Microsoft wurde diese Sicherheitslücke im Windows Remote Access Connection Manager bereits in der Praxis ausgenutzt. Die Ausnutzung dieser Sicherheitslücke könnte einem lokalen Angreifer ermöglichen, SYSTEM-Rechte zu erlangen. Aber diese Schwachstelle wurde mit den Oktober 2025-Sicherheits-Updates beseitigt.

Eine neue Schwachstelle entdeckt

Bei der Untersuchung der Schwachstelle CVE-2025-59230 im Windows Remote Access Connection Manager haben die Spezialisten von ACROS Security aber ein weiteres Problem gefunden. Sie konnten einen Exploit erstellen, der die lokale Ausführung von beliebigem Code als lokales System demonstrierte, wenn er als Windows-Benutzer ohne Administratorrechte gestartet wurde.

Interessanterweise enthielt dieser Exploit – obwohl er CVE-2025-59230 ausnutzte – auch einen Exploit für eine andere Sicherheitslücke, die bis heute ungeschlossen geblieben ist, schreiben die Spezialisten von ACROS Security im Beitrag Free Micropatches for Windows Remote Access Connection Manager DoS (0day). Über diese Schwachstelle, für die noch kein CVE existiert, kann ein nicht privilegierter Benutzer den RasMan-Dienst zum Absturz bringen. Details finden sich im verlinkten Beitrag.

Es gibt einen 0-Day-Fix

ACROS Security hat Microsoft über dieses Problem informiert. Redmond wird wahrscheinlich in einem der nächsten Windows-Updates einen offiziellen Patch für noch unterstützte Windows-Versionen bereitstellen.

RasMan 0-day Fix

Mitja Kolsek von ACROS Security hat mich vor einigen Stunden über obigen Tweet auf den im Beitrag Free Micropatches for Windows Remote Access Connection Manager DoS (0day) beschriebenen Sachverhalt aufmerksam gemacht. Die Sicherheitsspezialisten haben einen Micropatch entwickelt, der Microsofts Programmlogik in RasMan um eine weitere Prüfung ergänzt und so die 0-day-Schwachstelle beseitigt. Der Micropatch steht über den 0patch-Agenten für folgende Windows-Versionen bereit:

  1. Windows 11 v25H2 – fully updated
  2. Windows 11 v24H2 – fully updated
  3. Windows 11 v23H2 – fully updated
  4. Windows 11 v22H2 – fully updated
  5. Windows 11 v21H2 – fully updated
  6. Windows 10 v22H2 – fully updated
  7. Windows 10 v21H2 – fully updated
  8. Windows 10 v21H1 – fully updated
  9. Windows 10 v20H2 – fully updated
  10. Windows 10 v2004 – fully updated
  11. Windows 10 v1909 – fully updated
  12. Windows 10 v1809 – fully updated
  13. Windows 10 v1803 – fully updated
  14. Windows 7 – fully updated with no ESU, ESU 1, ESU 2 or ESU 3
  15. Windows Server 2008 R2 – fully updated with no ESU, ESU 1, ESU 2, ESU 3 or ESU 4
  16. Windows Server 2012 – fully updated with no ESU or ESU 1
  17. Windows Server 2012 R2 – fully updated with no ESU or ESU 1
  18. Windows Server 2016 – fully updated
  19. Windows Server 2019 – fully updated
  20. Windows Server 2022 – fully updated
  21. Windows Server 2025 – fully updated

Die Micropatches wurden bereits an alle betroffenen Systeme, die mit dem 0patch-Agenten online gegangen sind, verteilt. Diese Systeme sind also geschützt. Die Verteilung des Micropatches erfolgte für FREE-, PRO- oder Enterprise-Konten. Der Patch wird dort angewendet (sofern dies nicht durch Enterprise-Gruppeneinstellungen verhindert wurde). ACROS Security stellt den Micropatch solange im 0patcj FREE-Tarif bereit, bis Microsoft einen offiziellen Patch bereitgestellt hat.

Informationen zu 0patch gibt es auf dieser Webseite. ACROS Security schreibt, dass etwa 40 % seiner Kunden 0patch auf noch unterstützten Windows-Versionen wie Windows 11 25H2 und Server 2025 als zusätzlichen Schutz vor 0-Day-Angriffen einsetzen. Hinweise zum 0patch-Konzept habe ich in den nachfolgenden Blog-Beiträgen gegeben.

Ähnliche Artikel:
Windows 7/Server 2008 R2: 0Patch-Support bis Januar 2027
Windows 10: 0patch sorgt für 5 Jahre Zusatzsupport
0patch sichert Microsoft Office 2016 und 2019 nach Oktober 2025

Dieser Beitrag wurde unter Sicherheit, Software, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Windows Remote Access Connection Manager 0-Day-Fix

  1. Froschkönig sagt:
    13. Dezember 2025 um 12:14 Uhr

    Ok, also, man kann aktuell den RasMan abschießen. Wenn man an das System dran kommt. Wenn man also schon im gleichen Netz ist oder ein Routing dort hin hat.

    "Verwaltet Einwähl- und VPN-Verbindungen zwischen diesem Computer und dem Internet oder anderen Remotenetzwerken. Wenn dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."

    Ok, wer verwendet das?

    Antworten
    • Mark Heitbrink sagt:
      13. Dezember 2025 um 12:23 Uhr

      Alle mit AlwaysOn, das sind nicht wenige.

      Antworten
    • peter0815 sagt:
      13. Dezember 2025 um 19:34 Uhr

      RasMan ist für das gesamte L2-Bridging und L3-Routing zwischen den Interfaces zuständig. Deshalb läuft er ständig auf fast jedem Windows.

      Es geht um Rechteskalation eines bereits laufenden Prozesses am System und keine Remoteangriffe: Man schießt RasMon ab und startet ihn dann selbst mit eingebauter Hintertür wieder neu.

      Da man die bekannte Hintertür nicht mehr einbauen kann, kann man das System so zumindest derzeit nicht mehr übernehmen.

      Aber nach wie vor das komplette Routing und Bridging kurzfristig blockieren bis der Kernel den hängenden RasMon beendet und neu startet.

      Ein bereits lokaler Nutzer kann also kurzzeitig das gesamte System DOSen.

      Ist denke mit dieser "Bedrohung" kann ich gut bis zum nächsten Patchtag leben.

      Das ist für mich Werbung in eigener Sache. 0Patch zusätzlich ist für mich so sinnvoll wie ein dritter Virenscanner. Die Wahrscheinlichkeit durch einen Bug in 0Patch selbst mal das System abzuschießen dürfte mindestens genauso hoch sein wie durch diesen Bug Probleme zu bekommen. CrowdStrikes Falke lässt schön grüßen ;)

      Wer sich damit besser fühlt darf es natürlich gerne installieren.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.