Una investigación reciente ha puesto de manifiesto una peligrosa cadena de explotación que permite a un usuario local sin privilegios elevar sus permisos hasta SYSTEM, el nivel más alto en Windows, abusando del servicio Windows Remote Access Connection Manager (RasMan).

Aunque Microsoft ha corregido la vulnerabilidad principal, parte del vector que hace viable la explotación permaneció inicialmente sin parchear, lo que incrementó el riesgo real en determinados escenarios.

El origen: CVE-2025-59230

El problema se centra en la vulnerabilidad CVE-2025-59230, corregida por Microsoft en las actualizaciones de seguridad de octubre de 2025.

Según el análisis de 0patch, el fallo reside en cómo RasMan registra ciertos endpoints RPC durante su arranque. Otros servicios privilegiados confían implícitamente en esos endpoints para comunicarse.

Si RasMan no está en ejecución, un atacante local puede registrar ese endpoint antes que el propio servicio legítimo. Cuando posteriormente otros componentes del sistema se conectan, lo hacen al proceso malicioso del atacante, que ya se está ejecutando bajo su control.

Esto permite redirigir comunicaciones privilegiadas y, en última instancia, ejecutar código con permisos elevados.

El facilitador: forzar la caída del servicio

En condiciones normales, este ataque sería difícil porque RasMan se inicia automáticamente y apenas deja ventana temporal para adelantarse.

Sin embargo, los investigadores de 0patch descubrieron un segundo fallo que permite a un usuario sin privilegios provocar la caída del servicio RasMan de forma fiable.

Este fallo no estaba documentado inicialmente y se debe a:

• Un error lógico en el manejo de una estructura de datos tipo lista enlazada circular.
• Uso incorrecto de punteros nulos que provoca una violación de acceso a memoria.
• Como resultado, el servicio se bloquea y se detiene.

Esto permite al atacante:

1. Forzar la caída de RasMan.
2. Registrar el endpoint RPC legítimo antes de que el servicio se reinicie.
3. Esperar a que otros servicios privilegiados se conecten al endpoint falso.
4. Escalar privilegios hasta SYSTEM.

Estado de los parches

• Microsoft ha corregido CVE-2025-59230 en octubre de 2025.
• El vector que permite provocar el crash no fue parcheado inicialmente por Microsoft.
• 0patch publicó microparches temporales para mitigar este segundo componente en:
  • Windows 11
  • Windows Server 2025

Impacto

• Este tipo de vulnerabilidad es especialmente peligrosa porque:
• No requiere acceso remoto: basta con una sesión local sin privilegios.
• Puede ser explotada por malware que ya esté presente en el sistema.
• Permite romper completamente el modelo de seguridad del sistema operativo.
• En entornos corporativos, este tipo de fallos son críticos porque convierten infecciones menores en compromisos totales del sistema.

Recomendaciones

• Aplicar inmediatamente las actualizaciones de seguridad de octubre de 2025.
• Evaluar el uso de los microparches de 0patch en sistemas donde no se pueda actualizar.
• Limitar el acceso local a usuarios no confiables.
• Endurecer políticas de ejecución y control de aplicaciones.
• Monitorizar eventos relacionados con RasMan y servicios RPC.