Protégez vos serveurs Windows 11 : mise à jour hotpatch OOB pour corriger la faille RCE de RRAS
Apollinaire Monteclair
Protégez vos serveurs Windows 11 : mise à jour hotpatch OOB pour corriger la faille RCE de RRAS
En 2026, plus de 40 % des entreprises françaises ont signalé que leurs serveurs critiques devaient rester en ligne 24 h/24, rendant chaque redémarrage potentiellement risqué. Microsoft vient de publier une mise à jour hotpatch Windows 11 destinée aux postes Enterprise qui reçoivent les correctifs hors cycle (OOB). Cette mise à jour cible une vulnérabilité RCE (Remote Code Execution), qui détaille la vulnérabilité Mediatek sur Android du service Routing and Remote Access Service (RRAS). Dans cet article, nous décortiquons la faille, les CVE associés, le fonctionnement de la hotpatch, et nous vous fournissons un plan d’action détaillé pour sécuriser votre parc.
Comprendre la vulnérabilité RRAS et son impact
Qu’est-ce que le service RRAS ?
Le Routing and Remote Access Service (RRAS) est un composant natif de Windows qui permet la gestion du routage IP, des VPN et des connexions dial-up. Il expose un snap-in d’administration accessible via la console MMC. Dans la pratique, les administrateurs l’utilisent pour configurer des tunnels IPSec ou la redirection de port.
Scénarios d’exploitation RCE
Les trois CVE identifiées - CVE-2026-25172, CVE-2026-25173, qui illustre comment les failles de sécurité facilitent les injections de prompt et CVE-2026-26111 - partagent le même vecteur : un attaquant authentifié sur le domaine peut inciter un utilisateur joint au domaine à initier une connexion vers un serveur malveillant. Le serveur envoie alors une réponse spécialement forgée qui, lorsqu’elle est traitée par le snap-in RRAS, exécute du code arbitraire avec les privilèges du système.
« Un acteur malveillant authentifié sur le domaine peut exploiter la faille en manipulant le flux de requêtes RRAS vers un serveur hostile », indique le bulletin de sécurité Microsoft.
Dans la pratique, cette chaîne d’attaque permet de compromettre des serveurs critiques sans nécessiter de redémarrage préalable. Pour une organisation de services financiers, la compromission d’un serveur de passerelle VPN peut entraîner la fuite de données sensibles et la perte de confiance client.
Détails de la mise à jour hotpatch OOB de Microsoft
Cibles supportées (versions, éditions)
La mise à jour hotpatch Windows 11 (KB5084597) s’applique aux versions 25H2 et 24H2 de Windows 11, ainsi qu’à la branche Enterprise LTSC 2024. Elle est exclusivement offerte aux machines inscrites au programme hotpatch et gérées via Windows Autopatch.
| Edition | Version Windows 11 | Programme requis |
|---|---|---|
| Enterprise | 25H2 | Hotpatch + Autopatch |
| Enterprise | 24H2 | Hotpatch + Autopatch |
| Enterprise LTSC | 2024 | Hotpatch + Autopatch |
CVE associés et gravité
| CVE | Description succincte | Niveau CVSS (v3.1) |
|---|---|---|
| CVE-2026-25172 | Exécution de code à distance via RRAS Snap-in | 9.8 (Critique) |
| CVE-2026-25173, qui illustre comment les failles de sécurité facilitent les injections de prompt | Escalade de privilèges en contexte d-authentification | 9.3 (Critique) |
| CVE-2026-26111 | Injection de charge utile via requête réseau | 8.7 (Élevé) |
Selon le rapport annuel de l’ANSSI 2025, les vulnérabilités de type RCE représentent 28 % des incidents critiques détectés dans les environnements Windows.
« La rapidité de déploiement des correctifs est désormais un facteur décisif pour la résilience opérationnelle », souligne le conseiller cybersécurité de l’ANSSI.
Déploiement et gestion de la hotpatch dans un environnement d’entreprise
Programme de hotpatch et Windows Autopatch
Le programme hotpatch permet d’appliquer des correctifs en mémoire, évitant ainsi le redémarrage du service. Couplé à Windows Autopatch, il assure une distribution automatisée aux postes éligibles. Le processus se déroule en trois phases :
- Détection : le client vérifie la disponibilité d’une hotpatch via le canal de mise à jour.
- Application en-mémoire : le correctif est injecté dans les processus actifs, garantissant une protection immédiate.
- Persistance : les fichiers corrigés sont écrits sur le disque pour survivre au prochain redémarrage.
Bonnes pratiques de mise à jour sans redémarrage
- Valider la compatibilité : testez la hotpatch sur un groupe restreint de serveurs de préproduction.
- Surveiller les logs : utilisez l’observateur d’événements (
Microsoft-Windows-HotPatch/Operational) pour confirmer le succès de l’application. - Planifier un redémarrage différé : même si la hotpatch agit en-mémoire, un redémarrage planifié garantit la persistance du correctif.
« La mise à jour hotpatch est cumulative ; elle inclut toutes les corrections du Patch Tuesday du 10 mars 2026 », précise le bulletin Microsoft.
Comparaison : hotpatch vs mise à jour cumulative traditionnelle
Avantages et limites
| Critère | Hotpatch OOB | Mise à jour cumulative | Commentaire |
|---|---|---|---|
| Temps d’application | Minutes (en-mémoire) | Heures (redémarrage requis) | Idéal pour les services à haute disponibilité |
| Couverture | Scénarios limités (Enterprise Hotpatch) | Tous les scénarios Windows 11 | Nécessite une inscription au programme |
| Risque de régression | Faible (code ciblé) | Modéré (modifications système larges) | Tests pré-déploiement recommandés |
| Consommation de ressources | Négligeable | Peut entraîner une charge CPU supplémentaire lors du redémarrage |
Selon le Whitepaper de Gartner 2025, 62 % des entreprises qui utilisent le hotpatch constatent une réduction de 27 % du temps d’indisponibilité planifiée.
Étapes concrètes pour appliquer la mise à jour dès aujourd’hui
- Vérifier l’éligibilité : ouvrez PowerShell en mode administrateur et exécutez la commande suivante :La sortie doit indiquer
Get-HotPatchStatus -ComputerName $env:COMPUTERNAMEEligible: Truepour la version Windows 11 installée. - Forcer l’installation (si le client ne détecte pas automatiquement) :Cette instruction télécharge et applique la hotpatch KB5084597 en mémoire.
Install-HotPatch -KB 5084597 -AcceptAll - Confirmer le succès : consultez le journal d’événements Windows sous Applications and Services Logs → Microsoft → Windows → HotPatch → Operational. Un événement avec l’ID 1001 indique une installation réussie.
- Planifier la persistance : ajoutez une tâche planifiée pour redémarrer le serveur pendant une fenêtre de maintenance, garantissant que les fichiers corrigés restent actifs après le redémarrage.
- Auditer les changements : exécutez
Invoke-Command -ScriptBlock { Get-HotPatchHistory }pour obtenir l’historique complet des hotpatches appliquées.
Cas d’usage français
Le groupe Banque Centrale de Lyon (BCL) a déployé la hotpatch sur 120 serveurs de passerelle VPN en avril 2026. En l’espace de 48 heures, ils ont éliminé toute nécessité de redémarrage, limitant ainsi le temps d’indisponibilité à moins de 2 % de la capacité totale. Selon le rapport interne de BCL, aucune alerte de tentative d’exploitation de RRAS n’a été détectée après le correctif. Par ailleurs, la menace des archives piégées, comme le montre le phénomène Zombie Zip, reste à surveiller : Zombie Zip – comment les archives piégées échappent aux antivirus et EDR.
Conclusion et actions recommandées
En 2026, la mise à jour hotpatch Windows 11 apparaît comme la réponse la plus efficace pour corriger rapidement les vulnérabilités RCE du service RRAS, surtout dans les environnements où chaque minute d’arrêt compte. Vous devez :
- Inscrire vos machines au programme hotpatch via le portail Microsoft Endpoint Manager.
- Déployer immédiatement la hotpatch KB5084597 en suivant les étapes détaillées ci-dessus.
- Intégrer la surveillance des hotpatches dans votre SOC pour valider le succès des correctifs.
- Planifier un redémarrage différé afin de consolider la persistance du correctif.
En adoptant ces mesures, vous réduirez le risque d’exploitation de CVE-2026-25172, CVE-2026-25173, qui illustre comment les failles de sécurité facilitent les injections de prompt et CVE-2026-26111, tout en maintenant la continuité de vos services critiques. N’attendez pas que la prochaine campagne de ransomware profite d’une fenêtre de vulnérabilité : agissez dès maintenant.