Selon Cyber Security News, Microsoft a publié le 13 mars 2026 un hotpatch hors bande (KB5084597) visant des vulnérabilités critiques dans l’outil de gestion Windows RRAS sur Windows 11 versions 24H2 et 25H2, appliqué en mémoire et sans redémarrage.

🔧 Ce hotpatch cible trois failles activement préoccupantes dans l’outil de gestion RRAS susceptibles de provoquer une exécution de code à distance (RCE) ou un déni de service (DoS) lorsqu’un utilisateur se connecte à un serveur contrôlé par un attaquant. Microsoft précise qu’aucun problème connu n’est signalé à la date de publication et que seules les nouvelles modifications seront téléchargées si des mises à jour antérieures sont déjà installées.

CVE corrigées :

  • CVE-2026-25172 — Flaw dans l’outil de gestion RRAS permettant à un serveur distant malveillant de perturber le service ou d’exécuter du code arbitraire sur l’appareil connecté.
  • CVE-2026-25173 — Vulnérabilité liée avec vecteurs similaires, permettant RCE ou DoS lors d’une connexion à un serveur contrôlé par l’attaquant.
  • CVE-2026-26111 — Problème additionnel RRAS aggravant le risque, pouvant permettre l’exécution de code dans certaines conditions.

Périmètre et distribution :

  • Concerne Windows 11 25H2 (OS Build 26200.7982) et 24H2 (OS Build 26100.7982), x64 et Arm64.
  • Le hotpatch s’applique uniquement aux appareils compatibles hotpatch, via Windows Update (installation silencieuse, sans redémarrage), et est disponible pour environnements gérés via Microsoft Update Catalog et WSUS.
  • Inclus : Servicing Stack Update (SSU) KB5083532, version 26100.8035.

🛡️ Scénario d’attaque mis en avant : l’attaquant met en place un serveur rogue et attend qu’un utilisateur/administrateur exécutant l’outil de gestion RRAS s’y connecte ; une fois la connexion établie, il peut perturber l’outil ou exécuter du code malveillant sur la machine victime. L’article souligne l’importance, surtout en entreprise, de vérifier l’activation du hotpatch et de confirmer le déploiement sur les endpoints éligibles.

TTPs observés (d’après l’article) :

  • Mise en place d’un serveur malveillant/rogue par l’attaquant.
  • Attente d’une connexion initiée par un utilisateur/administrateur via l’outil de gestion RRAS.
  • À la connexion : perturbation du service ou exécution de code sur l’hôte victime.

Il s’agit d’un patch de sécurité hors bande visant à corriger rapidement des vulnérabilités RCE/DoS dans RRAS sans interrompre les opérations.

🔗 Source originale : https://cybersecuritynews.com/windows-11-out-of-band-update/

🖴 Archive : https://web.archive.org/web/20260315130416/https://cybersecuritynews.com/windows-11-out-of-band-update/