Kein Patch von Microsoft: Zero-Day-Lücke betrifft gängige Windows-Versionen
Sicherheitsforscher von Acros Security haben eine gefährliche Zero-Day-Lücke entdeckt, die alle gängigen Windows-Versionen betrifft. Eine Ausnutzung der Lücke mündet zwar lediglich in einem Absturz des Rasman-Dienstes (Remote Access Connection Manager), doch in Kombination mit einer früheren Schwachstelle können Angreifer sich damit weitreichende Systemrechte verschaffen. Einen Patch gibt es, aber bisher nur inoffiziell.
Bei der früheren Lücke handelt es sich laut Blogbeitrag der Forscher(öffnet im neuen Fenster) um CVE-2025-59230(öffnet im neuen Fenster) . Sie betrifft neben Windows 10 und 11 auch alle Windows Server-Varianten ab 2008 aufwärts und weist einen hohen Schweregrad (CVSS: 7,8) auf. Angreifer benötigen vorab einen lokalen Zugriff mit einfachen Benutzerrechten, können durch Ausnutzung der Lücke aber ihre Rechte ausweiten.
Damit das funktioniert, darf der Rasman-Dienst, der automatisch mit dem Betriebssystem startet, allerdings nicht laufen. Laut Acros kann der Angreifer daraufhin selber den üblicherweise von Rasman verwendeten RPC-Endpunkt registrieren und privilegierte Dienste dazu bringen, sich damit zu verbinden, den Antworten des Endpunktes zu vertrauen und potenziell enthaltenen Schadcode mit den erhöhten Rechten des jeweiligen Dienstes auszuführen.
Zero-Day-Lücke crasht Rasman
An dieser Stelle kommt nun die eingangs genannte Zero-Day-Lücke zum Zuge. Denn diese dient dazu, den Rasman-Dienst zum Absturz zu bringen (Denial of Service, DoS), so dass die Voraussetzung zur Ausnutzung von CVE-2025-59230 erfüllt ist. Die Lücke basiert nach Angaben der Forscher auf einem Fehler in der Art und Weise, wie Rasman Null-Zeiger in zirkulär verlinkten Listen verarbeitet. Eine kurze Demonstration des Angriffs gibt es auf Youtube(öffnet im neuen Fenster) .
CVE-2025-59230 hatte Microsoft schon im Oktober gepatcht. Wer seine Windows-Systeme entsprechend aktualisiert hat, ist also vor der Angriffskette geschützt. Für die DoS-Lücke gibt es allerdings bisher weder eine CVE-ID noch einen offiziellen Patch von Microsoft. Folglich lässt sich der Rasman-Dienst auf vollständig aktualisierten Windows-Geräten immer noch leicht zum Absturz bringen.
Der Webseite Bleeping Computer(öffnet im neuen Fenster) versicherte Microsoft, auch die DoS-Schwachstelle mit einem zukünftigen Update schließen zu wollen. Wer so lange nicht warten will, bekommt über die 0Patch genannte Micropatch-Lösung von Acros einen inoffiziellen Patch. Das Projekt fällt häufiger dadurch auf, dass es Windows-Patches schneller bereitstellt als Microsoft . 0Patch hat allerdings auch Nachteile .