Descubierta vulnerabilidad en el Administrador de Conexiones de Acceso Remoto de Windows
Durante el análisis de la vulnerabilidad CVE-2025-59230 en el Administrador de Conexiones de Acceso Remoto de Windows, cerrada por Microsoft en octubre de 2025, el equipo de 0patch descubrió una falla de seguridad aún sin parchear. Esta permite a atacantes locales sin privilegios administrativos provocar el fallo del servicio RasMan.
Antecedentes técnicos de la vulnerabilidad
CVE-2025-59230 es conceptualmente similar a la vulnerabilidad recientemente parcheada CVE-2025-49760. El servicio RasMan registra un punto final RPC al inicio, en el que otros servicios confían. Los atacantes pueden tomar el control de este punto final cuando el servicio no se está ejecutando y provocar que servicios con privilegios ejecuten código.
El desafío: RasMan normalmente se inicia automáticamente con Windows. Un exploit exitoso requiere, por lo tanto, una forma de detener el servicio. Precisamente, esta capacidad es la que ofrece la vulnerabilidad recién descubierta.
Lógica de programación defectuosa como causa
La vulnerabilidad reside en una implementación defectuosa al recorrer una lista enlazada circular. El código sí verifica punteros nulos, pero no abandona el bucle de procesamiento al encontrar un valor nulo. En cambio, el programa intenta leer el siguiente elemento de la lista desde el puntero nulo, lo que provoca una violación de acceso a la memoria.
Los desarrolladores asumieron que todas las listas se crearían correctamente. La verificación de nulos, incluida como precaución, aparentemente nunca se probó adecuadamente, ya que los escenarios de prueba utilizaron únicamente listas válidas.
Solución proporcionada por 0patch
El Micropatch desarrollado por 0patch agrega una verificación adicional que finaliza correctamente el bucle al encontrar un puntero nulo. Los videos de demostración muestran que el exploit, sin la protección activa de 0patch, provoca el fallo del servicio RasMan, mientras que con el parche activado no se produce el fallo.
Fuente de la imagen: 0patch
Disponibilidad e implementación
Los micropatches están disponibles para todas las versiones de Windows relevantes para la seguridad, incluyendo Windows 11 (todas las versiones de 21H2 a 25H2), Windows 10 (a partir de la versión 1803), Windows 7, así como Windows Server 2008 R2 hasta 2025.
Los parches ya se han distribuido y aplicado automáticamente a todos los equipos online con el agente de 0patch. Hasta que Microsoft proporcione una solución oficial, el parche de día cero está incluido en el plan gratuito FREE.
Microsoft planea un parche oficial
Microsoft ha sido informada sobre la vulnerabilidad y se espera que publique un parche oficial para todas las versiones compatibles en una de las próximas actualizaciones de Windows.
Aproximadamente el 40 por ciento de los clientes de 0patch también utilizan el servicio en versiones actuales de Windows, como Windows 11 25H2 y Server 2025, como una capa adicional de protección contra ataques de día cero.
Instalación y uso
Los usuarios pueden crear una cuenta gratuita en 0patch Central, iniciar una prueba y instalar el agente de 0patch. La instalación no requiere un reinicio, y todos los pasos posteriores se ejecutan automáticamente.
0patch también ofrece soporte extendido para Windows 10, así como para Office 2016 y 2019, cuyo soporte oficial finalizó en octubre. El soporte de seguridad de 0patch está previsto por al menos tres años más, e incluso por cinco años para Windows 10.
