سرویس Remote Access Connection Manager (RasMan)  یکی از مؤلفه‌های قدیمی اما حیاتی سیستم‌عامل ویندوز است که مدیریت اتصال‌های راه‌دور مانند VPN و Dial-up  را بر عهده دارد.
همین حضور دائمی در لایه زیرساخت باعث شده این سرویس، علی‌رغم اهمیت بالا، در بسیاری از سازمان‌ها کمتر پایش و سخت‌سازی شود.

اخیراً گزارش‌های امنیتی نشان داده‌اند که وجود آسیب‌پذیری در این سرویس می‌تواند در سناریوهای خاص، به افزایش سطح دسترسی، اجرای کد مخرب یا تبدیل شدن به نقطه ورود اولیه مهاجم منجر شود.

در این مقاله از سلام دیجی، ابتدا ماهیت ریسک را بررسی می‌کنیم و سپس راهکارهای کاملاً فنی و مرحله‌ای برای پیشگیری ارائه می‌دهیم.

Remote Access Connection Manager  دقیقاً چه کاری انجام می‌دهد؟

RasMan  مسئول مدیریت موارد زیر است:

✔ اتصال‌های VPN

Dial-up ✔و Broadband

✔ هماهنگی بین سرویس‌های شبکه‌ای مرتبط با دسترسی راه‌دور

این سرویس به‌صورت پیش‌فرض در بسیاری از نسخه‌های ویندوز فعال است و معمولاً با سطح دسترسی سیستمی اجرا می‌شود. موضوعی که آن را به هدف جذاب برای مهاجمان تبدیل می‌کند.

چرا آسیب‌پذیری‌های RasMan خطرناک هستند؟

مشکل اصلی این نوع آسیب‌پذیری‌ها این است که:

✔ در لایه سیستم‌عامل قرار دارند

✔ اغلب بخشی از زنجیره حمله هستند

✔ می‌توانند به Privilege Escalation ختم شوند

✔ در سیستم‌هایی فعال‌اند که نیازی واقعی به Remote Access ندارند

در محیط‌های سازمانی، همین ویژگی‌ها باعث می‌شود مهاجم بعد از دسترسی اولیه، بتواند کنترل بیشتری روی سیستم به‌دست آورد.

مثال سازمانی:
یک شرکت مالی با ۲۰۰ کارمند که همه از VPN برای اتصال از راه دور استفاده می‌کنند. اگر RasMan روی سرورها یا کلاینت‌های قدیمی Patch نشده باشد، مهاجم می‌تواند با استفاده از این ضعف به شبکه داخلی نفوذ کند و دسترسی به داده‌های حساس مالی پیدا کند.

راهکارهای فنی و مرحله‌ای برای جلوگیری از سوءاستفاده

مرحله ۱: شناسایی سیستم‌های در معرض ریسک

ابتدا بررسی کنید کدام سیستم‌ها سرویس RasMan فعال دارند:

services.msc → Remote Access Connection Manager

اولویت بررسی با سرورهای VPN، سیستم‌های دارای RRAS و کلاینت‌هایی است که اتصال راه‌دور فعال دارند.

📌  اگر سیستمی به Remote Access نیاز ندارد، فعال بودن این سرویس یک ریسک غیرضروری است.

مرحله ۲: اعمال Patch و به‌روزرسانی‌های امنیتی

✔ اطمینان از نصب آخرین Windows Security Updates

✔ بررسی Patch Tuesdayهای اخیر مرتبط با Networking و Remote Access

✔ در محیط‌های سازمانی: استفاده از WSUS یا SCCM و پایش وضعیت نصب Patch روی Endpoints

🎯  بسیاری از سوءاستفاده‌ها فقط روی سیستم‌های Patch نشده ممکن هستند.

مرحله ۳: غیرفعال‌سازی سرویس در سیستم‌های غیرضروری

اگر سیستم نیازی به VPN یا Dial-up ندارد:

از طریق Services :

Startup Type → Disabled

یا PowerShell :

Set-Service -Name RasMan -StartupType Disabled

📌  این ساده‌ترین و مؤثرترین روش کاهش سطح حمله است.

مرحله ۴: اعمال اصل Least Privilege

✔ حذف دسترسی‌های مدیریتی غیرضروری

✔ بازبینی عضویت در گروه‌های:

Administrators وRemote Desktop Users

✔ سخت‌گیرانه‌تر کردن تنظیمات UAC

این مرحله احتمال بهره‌برداری از آسیب‌پذیری را به‌شدت کاهش می‌دهد.

مرحله ۵: مانیتورینگ و لاگ‌برداری امنیتی

در SIEM یا EDR به این موارد حساس باشید:

✔ تغییر غیرمنتظره وضعیت سرویس RasMan

✔ اجرای پردازش‌های غیرعادی با Context سیستمی

✔ افزایش دسترسی پس از فعال‌سازی Remote Access

📌  RasMan معمولاً به‌تنهایی هدف نیست، بلکه بخشی از زنجیره حمله است.

مرحله ۶: محدودسازی دسترسی‌های شبکه‌ای

✔ محدود کردن دسترسی به VPN و RDP

✔ اعمال Firewall Rule بر اساس IPهای مجاز

✔ استفاده از MFA برای تمام دسترسی‌های remote

مرحله ۷: سخت‌سازی (Hardening) سیستم

✔ حذف کانفیگ‌های قدیمی VPN

✔ غیرفعال‌سازی Dial-upهای بلااستفاده : بازبینی GPOهای مرتبط با Network Accessو System Services

جمع‌بندی

آسیب‌پذیری‌های مرتبط با Remote Access Connection Manager یادآوری می‌کنند که تهدیدهای جدی همیشه در سرویس‌های پرسر و صدا نیستند.
سرویس‌های زیرساختی، اگر نادیده گرفته شوند، دقیقاً همان نقطه‌ای هستند که مهاجم به‌دنبالش می‌گردد.

 🎯  دفاع مؤثر یعنی:
Patch  به‌موقع،  غیرفعال‌سازی سرویس‌های غیرضروری + مانیتورینگ رفتاری