На прошлой неделе мы столкнулись с атакой, которая чуть не парализовала работу одного из наших крупных клиентов. Уязвимость нулевого дня в Windows, связанная с ошибкой в обработке циклических связных списков в службе Remote Access Connection Manager (RasMan), позволила злоумышленникам вывести систему из строя без прав администратора. Сейчас расскажу, как это происходит и как защититься.
📈 Что произошло?
Распространение уязвимости нулевого дня в Windows связано с ошибкой в обработке циклических связных списков в службе RasMan. При обходе списка служба может наткнуться на нулевой указатель и вместо корректного выхода из цикла пытается прочитать память по этому адресу, что приводит к падению процесса. Эта уязвимость относится к классу «отказ в обслуживании» и позволяет злоумышленникам намеренно обрушить RasMan.
Эта уязвимость пока не получила идентификатор CVE, но затронула все версии Windows от 7 до 11, а также Windows Server от 2008 R2 до Server 2025. По моему опыту, такие уязвимости могут стать настоящей головной болью для IT-департаментов.
📉 Последствия для корпоративных систем
Уязвимость в RasMan может быть использована для проведения атак с имитацией службы RasMan и добиться выполнения кода, но только в ситуации, когда RasMan не запущена. Это может привести к серьёзным последствиям для корпоративных систем, включая потерю данных и нарушение работы критически важных приложений.
🛠 Меры по устранению уязвимости
Для устранения уязвимости ACROS Security выпустила бесплатное исправление через 0patch для всех затронутых систем. Для установки требуется зарегистрировать учётную запись и поставить агент 0patch — после запуска он применит все микропатчи автоматически, обычно без перезагрузки, если это не ограничено политикой применения исправлений.
📋 Рекомендации по предотвращению атак
Для предотвращения атак, связанных с уязвимостью в RasMan, рекомендуется:
1. Регулярно обновлять операционную систему и приложения до последних версий.
2. Использовать антивирусное ПО и системы обнаружения вторжений для мониторинга подозрительной активности.
3. Ограничивать права доступа пользователей и процессов для минимизации риска повышения привилегий.
4. Проводить регулярные пентесты и аудит безопасности для выявления уязвимостей.
5. Внедрять многофакторную аутентификацию для защиты от фишинговых атак.
6. Обучать сотрудников основам кибербезопасности и правилам работы с конфиденциальной информацией.
7. Использовать системы резервного копирования данных для минимизации потерь в случае успешной атаки.
8. Внедрять сегментацию сети для ограничения распространения атак.
9. Регулярно проводить аудит безопасности и тестирование на проникновение для выявления уязвимостей.
10. Использовать системы обнаружения и предотвращения вторжений (IDS/IPS) для мониторинга и блокировки подозрительной активности.
🎯 Выводы
Уязвимости нулевого дня представляют серьёзную угрозу для корпоративных систем. Для защиты от таких атак необходимо регулярно обновлять программное обеспечение, использовать антивирусное ПО, ограничивать права доступа, проводить регулярные пентесты и обучать сотрудников основам кибербезопасности.
🔎 Как защититься прямо сейчас
1. Проверьте наличие обновлений для вашей версии Windows.
2. Установите агент 0patch для автоматического применения микропатчей.
3. Ограничьте права доступа пользователей и процессов.
4. Проведите аудит безопасности вашей сети.
5. Обучите сотрудников основам кибербезопасности.
6. Внедрите систему резервного копирования данных.
7. Используйте системы обнаружения вторжений для мониторинга подозрительной активности.
8. Ограничьте распространение атак с помощью сегментации сети.
9. Регулярно проводите тестирование на проникновение.
10. Используйте системы обнаружения и предотвращения вторжений (IDS/IPS).
❓ FAQ
1. Что такое уязвимость нулевого дня?
Уязвимость нулевого дня — это уязвимость в программном обеспечении, о которой разработчик ещё не знает и не выпустил патч для её устранения.
———
2. Какие последствия может иметь уязвимость в RasMan для корпоративных систем?
Уязвимость в RasMan может привести к потере данных, нарушению работы критически важных приложений и другим серьёзным последствиям.
———
3. Как устранить уязвимость в RasMan?
Для устранения уязвимости в RasMan необходимо установить бесплатное исправление через 0patch.
———
4. Какие меры можно предпринять для предотвращения атак, связанных с уязвимостью в RasMan?
Для предотвращения атак, связанных с уязвимостью в RasMan, можно регулярно обновлять операционную систему и приложения, использовать антивирусное ПО, ограничивать права доступа, проводить регулярные пентесты и обучать сотрудников основам кибербезопасности.
———
5. Какие рекомендации вы можете дать для защиты от уязвимостей нулевого дня?
Для защиты от уязвимостей нулевого дня необходимо регулярно обновлять программное обеспечение, использовать антивирусное ПО, ограничивать права доступа, проводить регулярные пентесты и обучать сотрудников основам кибербезопасности.
🔐 Нужна помощь по любой теме из статьи?
• аудит мобильных устройств и мессенджеров
• выявление коммерческого шпионского ПО
• приведение в соответствие требованиям ФСТЭК и 152-ФЗ
• внедрение EDR/XDR, DLP или защиты КИИ
Оперативно пришлём чек-лист + дорожную карту. Работаем с банками, ОКИИ и госкорпорациями.
10 правил защиты от уязвимостей нулевого дня в 2026 году
1. Обновляйте ПО регулярно.
2. Используйте антивирусное ПО.
3. Ограничивайте права доступа.
4. Проводите пентесты.
5. Обучайте сотрудников.
6. Внедряйте многофакторную аутентификацию.
7. Используйте системы резервного копирования.
8. Сегментируйте сеть.
9. Применяйте системы IDS/IPS.
10. Следите за новостями в области кибербезопасности.
══════
Больше материалов: Центр знаний SecureDefence.
Оставьте заявку на бесплатную консультацию: [Перейти на сайт]