Une brèche béante dans Windows permet à n'importe qui de faire planter le système en quelques secondes. Pendant que Microsoft garde le silence radio, un correctif non-officiel fait le travail à sa place.
En décembre 2025, les chercheurs d'ACROS Security ont déniché une vulnérabilité dans le service Remote Access Connection Manager de Windows. Cette faille, qui n'a toujours pas reçu d'identifiant CVE officiel, permet à n'importe quel utilisateur de faire crasher ce composant critique. Le hic : depuis sa découverte, Microsoft reste silencieux comme une tombe, tandis que des exploits fonctionnels se baladent librement sur internet sans alerter le moindre antivirus.
Une clé qui ouvre la porte à une vulnérabilité déjà exploitée
RASMan gère les connexions VPN et accès distants sur tous les systèmes Windows modernes. Son importance stratégique transforme cette faille apparemment anodine en véritable bombe à retardement. Le problème réside dans un défaut de codage classique : le service traverse une liste chaînée circulaire qui devrait s'arrêter après un tour complet. Sauf que si un pointeur devient nul, la boucle ne peut plus s'interrompre. Résultat : accès mémoire invalide, crash instantané du service.
Cette faille prend tout son sens quand on la met en perspective avec CVE-2025-59230, une élévation de privilèges corrigée par Microsoft en octobre dernier. Cette vulnérabilité, déjà exploitée activement en conditions réelles, nécessite une condition précise pour fonctionner : RASMan doit être arrêté. L'attaquant peut alors usurper l'identité du service sur un point d'accès RPC et obtenir les privilèges système.
La nouvelle faille dévoilée en décembre devient ainsi le chaînon manquant : elle permet de forcer l'arrêt de RASMan à volonté, libérant le chemin vers l'exploitation de CVE-2025-59230. Un combo gagnant pour les pirates, un cauchemar pour les administrateurs. Face au mutisme de Redmond, ACROS Security a décidé de passer à l'action. Via sa plateforme 0patch, l'entreprise slovène propose un correctif gratuit accessible immédiatement. Ce service de micropatching fonctionne différemment des mises à jour classiques : le correctif s'injecte directement en mémoire, sans modifier les fichiers système ni nécessiter de redémarrage.
Mitja Kolsek, fondateur d'ACROS Security, ne mâche pas ses mots : l'équipe a alerté Microsoft mais n'a reçu aucun retour concernant un plan de correction. Pour se protéger, les utilisateurs doivent créer un compte gratuit sur 0patch Central et installer l'agent correspondant. Attention toutefois : cette gratuité ne dure que jusqu'à la publication d'un correctif officiel par Microsoft.
Des exploits en liberté, aucune détection
Le tableau s'assombrit encore : des exploits fonctionnels circulent déjà sur internet, téléchargeables par n'importe qui. Plus inquiétant, aucune solution antivirus ne les détecte comme malveillants. Cette absence totale de barrière défensive transforme la vulnérabilité théorique en menace bien concrète.
Microsoft n'a toujours pas répondu aux demandes concernant l'attribution d'un CVE ou un calendrier de correctif. Cette absence de communication laisse les administrateurs Windows dans le flou complet, sans visibilité sur un éventuel patch officiel. Pour les environnements hébergeant des services VPN ou des serveurs d'accès distant, la parade immédiate reste l'installation du correctif 0patch en attendant que Microsoft daigne sortir de son silence.
Source : The Register
