De usuario local a SYSTEM: la cadena de explotación que afecta a RasMan

La vulnerabilidad principal ya tiene parche de Microsoft, pero el vector que facilita el ataque quedó sin corregir en el hallazgo inicial.

Un fallo de seguridad crítico relacionado con el Windows Remote Access Connection Manager (RasMan) ha puesto el foco en un escenario de escalada de privilegios local que puede terminar en ejecución de código con permisos de System, el nivel más alto en Windows.

La investigación comenzó alrededor del CVE-2025-59230, una vulnerabilidad corregida por Microsoft en las actualizaciones de seguridad de octubre de 2025. Según el análisis de 0patch, el problema principal se encuentra en la forma en que el servicio RasMan gestiona y registra ciertos endpoints RPC (puntos finales de comunicación). En condiciones normales, cuando RasMan arranca, registra un endpoint específico en el que confían otros servicios privilegiados del sistema. El riesgo aparece si RasMan no está en ejecución: en ese caso, un atacante con acceso local podría registrar primero ese endpoint y hacer que, posteriormente, servicios con privilegios se conecten sin sospecharlo al proceso del atacante.

En la práctica, esta condición es difícil de aprovechar porque RasMan suele iniciarse automáticamente con el sistema, dejando muy poco margen para adelantarse. Ahí es donde entra la segunda pieza del hallazgo: 0patch describe un fallo adicional no divulgado previamente que permite a un usuario sin privilegios provocar el cierre inesperado del servicio RasMan. El problema se originaría por un error lógico vinculado a una estructura de datos tipo lista enlazada circular y al manejo incorrecto de punteros nulos, provocando una violación de acceso a memoria.

Microsoft ya ha parcheado la vulnerabilidad de elevación de privilegios (CVE-2025-59230), pero el vector de “crash” usado para facilitar la cadena no estaba corregido oficialmente en el momento del descubrimiento. Por su parte, 0patch publicó microparches para mitigar este componente en varios sistemas, incluyendo Windows 11 y Windows Server 2025.

La recomendación para administradores es clara: aplicar cuanto antes las actualizaciones de octubre de 2025, revisar políticas de endurecimiento y limitar el acceso local no confiable en equipos críticos.

Más información:

• Windows Remote Access Connection Manager Vulnerability Enables Arbitrary Code Execution https://cybersecuritynews.com/windows-remote-access-connection-manager-vulnerability/
• Windows Remote Access Connection Manager Flaw Enables Arbitrary Code Execution https://cyberpress.org/windows-remote-access-flaw/
• CVE-2025-59230 Detail https://nvd.nist.gov/vuln/detail/CVE-2025-59230
• Windows Remote Access Connection Manager Elevation of Privilege Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59230

La entrada De usuario local a SYSTEM: la cadena de explotación que afecta a RasMan se publicó primero en Una Al Día.

Artículo de Germán Centeno publicado en https://unaaldia.hispasec.com/2025/12/de-usuario-local-a-system-la-cadena-de-explotacion-que-afecta-a-rasman.html?utm_source=rss&utm_medium=rss&utm_campaign=de-usuario-local-a-system-la-cadena-de-explotacion-que-afecta-a-rasman