I servizi di Windows dedicati alle connessioni remote hanno da sempre rappresentato una fonte inesauribile di “soddisfazioni” per chi si occupa di sicurezza informatica, rivelando vulnerabilità di enorme impatto. Tra gli esempi più noti c’è EternalBlue, scoperto e tenuto segreto per cinque anni dall’NSA, prima di essere rubato dal gruppo Shadow Brokers e utilizzato per l’epidemia globale di WannaCry nel 2017, che ha infettato milioni di computer e causato danni ingenti a enti pubblici e aziende private.

Un altro caso emblematico è stato BlueKeep, una vulnerabilità presente nel servizio RDP di Windows che permetteva l’esecuzione remota di codice senza autenticazione su sistemi non aggiornati. Questi episodi dimostrano quanto i servizi di gestione delle connessioni remote possano diventare rapidamente un terreno fertile per exploit critici, evidenziando il ruolo strategico di questi componenti nella sicurezza complessiva dei sistemi Windows.

Esiste una falla di sicurezza estremamente grave nel servizio Windows Remote Access Connection Manager (RasMan) che permette a malintenzionati con accesso locale di attivare codice a loro scelta con diritti di amministratore di sistema.

Nel corso dell’esame della vulnerabilità CVE-2025-59230, che Microsoft ha trattato negli aggiornamenti di sicurezza dell’ottobre 2025, gli specialisti di sicurezza di 0patch hanno individuato una serie complessa di exploit, i quali si appoggiano a una falla zero-day secondaria e finora ignota per operare in maniera efficiente.

La vulnerabilità principale, CVE-2025-59230, riguarda il modo in cui il servizio RasMan gestisce gli endpoint RPC. All’avvio, il servizio registra un endpoint specifico di cui altri servizi privilegiati si fidano. I ricercatori di 0patch hanno scoperto che se RasMan non è in esecuzione, un aggressore può registrare prima questo endpoint. Una volta che i servizi privilegiati tentano di connettersi, comunicano inconsapevolmente con il processo dell’aggressore, consentendo l’esecuzione di comandi dannosi.

Tuttavia, sfruttare questa condizione di competizione è difficile perché RasMan in genere si avvia automaticamente all’avvio del sistema, non lasciando agli aggressori alcuna finestra di opportunità per registrare prima l’endpoint. Per aggirare questa limitazione, l’exploit scoperto sfrutta una seconda vulnerabilità non ancora patchata. Questa falla zero-day consente a un utente non privilegiato di bloccare intenzionalmente il servizio RasMan.

L’arresto anomalo è causato da un errore logico nel codice relativo a una lista concatenata circolare. Il servizio tenta di attraversare la lista ma non riesce a gestire correttamente i puntatori NULL, causando una violazione dell’accesso alla memoria .

Arrestando il servizio, gli aggressori possono forzarne l’arresto, rilasciare l’endpoint RPC e successivamente attivare la catena di exploit CVE-2025-59230 per ottenere l’accesso al sistema. Microsoft ha rilasciato patch ufficiali per la falla di elevazione dei privilegi (CVE-2025-59230). Tuttavia, la vulnerabilità di crash del servizio utilizzata per facilitare l’attacco non era stata ancora corretta nei canali ufficiali al momento della scoperta.

0patch ha rilasciato delle micropatch per risolvere questo problema di crash sulle piattaforme supportate, tra cui Windows 11 e Server 2025. Si consiglia agli amministratori di applicare immediatamente gli aggiornamenti di Windows di ottobre 2025 per mitigare il rischio di escalation dei privilegi principali.

L'articolo Dalle VPN ai desktop remoti: i bug Windows che non smettono mai di sorprendere proviene da Red Hot Cyber.