Mise à jour hotpatch Windows 11 RRAS : correctif critique contre la faille d’exécution à distance

Hippolyte Valdegré

Pourquoi la faille RRAS représente un danger majeur

En 2026, plus d’un tiers des incidents de cybersécurité en France découlent de vulnérabilités non corrigées (selon le rapport annuel de l’ANSSI 2025). Routing and Remote Access Service (RRAS) est le composant réseau de Windows qui gère la connectivité VPN, le routage et les services d’accès à distance. Une faille d’exécution à distance (RCE) sur ce module permettrait à un attaquant authentifié sur le domaine d’exécuter du code malveillant simplement en incitant un utilisateur à se connecter à un serveur compromis.

« Une compromission via RRAS peut donner un accès complet au réseau d’entreprise, car le service fonctionne avec des privilèges élevés », indique l’équipe de sécurité de l’ANSSI.

Les scénarios visés sont limités aux postes clients Enterprise : les appareils qui reçoivent les hotpatch au lieu des mises à jour cumulatives classiques, souvent parce qu’ils hébergent des services critiques ne pouvant pas être redémarrés rapidement.

Impacts potentiels

  • Escalade de privilèges sur le réseau interne.
  • Compromission des tunnels VPN d’entreprise.
  • Perturbation de services de routage essentiels.
  • Propagation latérale vers d’autres systèmes.

Détails techniques de la faille et scénarios d’exploitation

Microsoft a identifié trois CVE affectant RRAS : CVE-2026-25172, CVE-2026-25173 et CVE-2026-26111. Chaque vulnérabilité repose sur une manipulation de la mémoire lors du traitement de requêtes provenant du RRAS Snap-in lorsqu’un client se connecte à un serveur malveillant. Le code malveillant s’injecte alors dans le processus svchost.exe, qui tourne avec des droits système.

« Un attaquant authentifié peut exploiter la faille en incitant un utilisateur joint au domaine à ouvrir une connexion vers un serveur RRAS compromis », résume le bulletin de sécurité Microsoft.

En pratique, l’exploitation nécessite :

  1. Un compte d’utilisateur valide dans le domaine.
  2. La capacité de persuader la victime d’initier une connexion RRAS.
  3. Un serveur ou un service contrôlé par l’attaquant qui répond à la requête avec des charges utiles spécialement conçues.

Ces conditions sont fréquentes dans les environnements où les administrateurs utilisent les outils de gestion distante pour dépanner des serveurs Windows. injections de prompts via OpenClaw

La mise à jour hotpatch OOB : fonctionnement et portée

Le hotpatch publié sous le numéro KB5084597 cible les versions Windows 11 25H2, 24H2 et l’édition Enterprise LTSC 2024. vulnérabilité des puces MediaTek affectant 25 % des smartphones Android Contrairement aux correctifs traditionnels, le hotpatch s’applique en mémoire, évitant ainsi un redémarrage du système. Cette technique, validée par l’ANSSI dans son guide 2024 sur la mise à jour en continu, consiste à :

  • Modifier les segments de code actifs du processus vulnérable.
  • Mettre à jour les fichiers sur disque pour que la correction persiste après un éventuel redémarrage.

Le hotpatch est cumulatif : il intègre toutes les corrections de la mise à jour de sécurité de mars 2026 (déployée le 10 mars) ainsi que les améliorations complémentaires.

Caractéristiques principales

  • Déploiement automatisé via Windows Autopatch pour les appareils inscrits au programme.
  • Aucune interruption de service grâce à l’application en mémoire.
  • Couverture complète des trois CVE cités.

Déploiement et bonnes pratiques pour les entreprises françaises

Pour les organisations soucieuses de respecter les exigences du RGPD et des standards ISO 27001, il est crucial d’intégrer le hotpatch dans la chaîne de gestion des correctifs. Voici les étapes recommandées :

  1. Vérifier l’éligibilité des postes : seuls les appareils inscrits à Windows Autopatch et recevant des hotpatchs peuvent installer ce correctif.
  2. Auditer les configurations RRAS : identifier quels serveurs ou postes utilisent le Snap-in de gestion.
  3. Appliquer immédiatement le KB5084597 : utilisez PowerShell ou le Centre de gestion de mise à jour.
  4. Surveiller les journaux d’événements pour détecter d’éventuelles tentatives d’exploitation.
  5. Documenter la mise à jour dans le registre de conformité ISO 27001.

Exemple concret : une société de services financiers basée à Paris a automatisé le déploiement du hotpatch via Microsoft Endpoint Manager. En moins de 48 heures, 95 % de leurs postes critiques étaient protégés, évitant ainsi une tentative d’accès non autorisée détectée par leur SIEM.

Comparaison des correctifs : hotpatch vs mise à jour cumulative

AspectHotpatch (OOB)Mise à jour cumulative (Patch Tuesday)
Redémarrage requisNonOui (souvent nécessaire)
PortéeCible les scénarios hotpatch uniquementTous les scénarios, incluant ceux hors-programme hotpatch
Temps de déploiementImmédiat, via Windows AutopatchProgrammé, dépend du cycle mensuel
Risques de régressionFaible, appliqué en mémoireModéré, changements massifs du système
ConformitéAligné avec ANSSI - mise à jour continueAligné avec standards traditionnels de patching

Cette comparaison montre clairement que le hotpatch représente la meilleure option pour les environnements à haute disponibilité où chaque minute d’arrêt se traduit par des pertes financières significatives.

Guide de mise en œuvre étape par étape

# Vérifier la présence du hotpatch KB5084597
Get-HotPatch -KBNumber "KB5084597" | Format-List

# Forcer l’installation si absent
do { Install-HotPatch -KBNumber "KB5084597" } while ((Get-HotPatch -KBNumber "KB5084597").Status -ne "Installed")
  1. Analyse préalable : exécutez Get-HotPatch pour confirmer la version installée.
  2. Installation : lancez Install-HotPatch depuis un compte administrateur.
  3. Validation : redémarrez le service RRAS (Restart-Service RemoteAccess) pour s’assurer que le correctif est actif en mémoire.
  4. Audit post-déploiement : consultez les événements 4698 (création de service) et 7045 (installation de service) afin de vérifier l’absence d’activités suspectes.
  5. Reporting : intégrez les résultats dans votre tableau de bord de conformité ISO 27001.

Points d’attention

  • Ne pas désactiver Windows Autopatch pendant le processus ; le service assure la persistance du correctif.
  • Surveiller les dépendances de tiers ; certaines solutions de monitoring réseau peuvent nécessiter une mise à jour de leurs agents.
  • Planifier des tests sur un environnement de pré-production avant le déploiement à grande échelle.

Conclusion - Protégez vos infrastructures critiques immédiatement

La faille RRAS exploitable via des scénarios de gestion à distance représente une menace sérieuse pour les organisations françaises qui s’appuient sur Windows 11 Enterprise. Grâce au hotpatch OOB KB5084597, Microsoft offre une solution sans interruption, compatible avec les exigences de l’ANSSI et les normes ISO 27001. Adoptez dès maintenant le processus décrit ci-dessus : vérifiez l’éligibilité, déployez le correctif via Windows Autopatch, puis validez sa mise en œuvre. Ainsi, vous réduirez de façon mesurable le risque d’exécution à distance, tout en maintenant la continuité de vos services critiques.

« La rapidité de déploiement est la clé pour limiter la fenêtre d’exposition », rappelle le Centre national de la cybersécurité (ANSSI).

En suivant ces recommandations, votre organisation pourra non seulement se conformer aux exigences réglementaires, mais aussi renforcer sa posture de défense face aux cyber-menaces évolutives de 2026.