Windows 11 OOB hotpatch : protégez vos serveurs RRAS contre la faille RCE
Lysandre Beauchêne
Une mise à jour hors cycle qui sauve vos environnements critiques
En 2026, plus d’une tiers-demième des entreprises françaises a choisi d’activer le programme Windows Autopatch pour éviter les redémarrages imprévus (source : Red Report 2026). Pourtant, une vulnérabilité récemment découverte dans le Windows Routing and Remote Access Service (RRAS) pouvait compromettre ces mêmes environnements. Le Windows 11 OOB hotpatch KB5084597, publié le 13 mars 2026, offre une correction sans interruption, ciblant uniquement les scénarios d’entreprise où le redémarrage est inacceptable.
Pourquoi la faille RRAS RCE menace vos environnements Windows 11 Enterprise
Description technique de la vulnérabilité
RRAS est le composant responsable de la gestion du routage et de l’accès distant sur les systèmes Windows. Les trois CVE - CVE-2026-25172, CVE-2026-25173 et CVE-2026-26111 - concernent le snap-in de gestion RRAS. Un attaquant authentifié sur le domaine peut, en incitant un utilisateur joint au domaine à ouvrir une connexion vers un serveur malveillant, exécuter du code arbitraire dans le contexte du service. La chaîne d’exploitation repose sur la capacité du snap-in à charger des bibliothèques non signées depuis le serveur ciblé.
Scénarios d’exploitation réalistes
- Gestion distante d’infrastructure : un administrateur utilise le snap-in RRAS pour configurer des routes sur un serveur de production. L’attaquant modifie la cible du serveur dans le profil de connexion, déclenchant le téléchargement d’un payload.
- Script d’automatisation : des scripts PowerShell automatisent la création de tunnels VPN via RRAS. Un paramètre falsifié dans le script permet l’injection d’une DLL malveillante.
- Outils tiers d’audit : certains scanners réseau invoquent RRAS pour collecter des informations. Une requête manipulée conduit à l’exécution d’un code non autorisé.
« Microsoft a identifié un problème de sécurité dans l’outil de gestion RRAS qui pourrait permettre une exécution de code à distance lorsqu’un serveur malveillant est contacté », - Advisory Microsoft, 13 mars 2026.
Quelles sont les mises à jour OOB ? Analyse du hotpatch KB5084597
Couverture des versions affectées
| Version Windows 11 | Edition | Niveau de correctif |
|---|---|---|
| 25H2 | Enterprise (Hotpatch) | KB5084597 (OOB) |
| 24H2 | Enterprise (Hotpatch) | KB5084597 (OOB) |
| Enterprise LTSC 2024 | LTSC (Hotpatch) | KB5084597 (OOB) |
Le hotpatch est cumulatif : il intègre toutes les corrections publiées lors du Patch Tuesday du 10 mars 2026, ainsi que des correctifs antérieurs réémis pour garantir une couverture exhaustive.
Mode de déploiement via Windows Autopatch
Windows Autopatch gère automatiquement l’installation du hotpatch sur les appareils inscrits dans le programme de mise à jour hors cycle. Aucun redémarrage n’est requis ; la mise à jour agit in-memory sur les processus actifs, puis synchronise les fichiers sur disque afin que la correction persiste après le prochain redémarrage planifié.
« Le hotpatch sera uniquement proposé aux appareils enregistrés dans le programme de mise à jour hors cycle et gérés via Windows Autopatch », - communiqué Microsoft.
Comment vérifier la présence du hotpatch sur vos postes
Commandes PowerShell (exemple d’audit)
# Vérifier la présence du KB5084597
Get-HotPatch -Id KB5084597 -ComputerName localhost | Format-Table -AutoSize
# Liste des hotpatch installés sur l’ensemble du parc via SCCM
Get-CimInstance -ClassName Win32_QuickFixEngineering | Where-Object {$_.HotFixID -like "KB508459*"} | Select-Object CSName, HotFixID, InstalledOn
Ces deux commandes permettent de confirmer l’application du correctif sans interrompre les services.
Checklist de conformité (liste à puces)
- Tous les serveurs Windows 11 Enterprise 25H2/24H2 sont inscrits à Windows Autopatch.
- Le hotpatch KB5084597 apparaît dans le rapport PowerShell ci-dessus.
- Aucun redémarrage planifié n’est requis ; les journaux d’événements ne contiennent aucune erreur liée à RRAS.
- Les politiques de groupe interdisent l’exécution non autorisée de DLL via le snap-in RRAS.
Guide de mise en œuvre pas à pas
- Activer le programme Hotpatch : via le portail Microsoft Endpoint Manager, cochez Enable hotpatch pour les appareils cibles.
- Déployer le KB5084597 : créez une tâche d’installation automatisée dans Windows Autopatch qui cible le groupe d’appareils Enterprise.
- Valider l’installation : exécutez le script PowerShell fourni dans la section précédente.
- Auditer les logs RRAS : vérifiez
Event Viewer > Applications and Services Logs > Microsoft > Windows > RRASafin de repérer d’éventuelles tentatives d’exploitation. - Documenter les changements : mettez à jour le registre des correctifs de votre SOC avec le numéro de hotpatch et la date d’application.
Comparatif des stratégies de correction : hotpatch vs mise à jour cumulative
| Critère | Hotpatch OOB (KB5084597) | Mise à jour cumulative (Patch Tuesday) |
|---|---|---|
| Temps d’application | Minutes (in-memory) | Plusieurs heures (reboot requis) |
| Impact sur la disponibilité | Aucun impact observable | Interruption pendant le redémarrage |
| Couverture | Scénarios Enterprise hotpatch uniquement | Tous les scénarios Windows 11 |
| Gestion | Automatisée via Windows Autopatch | Nécessite planification IT |
| Risques résiduels | Limité aux appareils non inscrits au programme | Possibilité de conflits de redémarrage |
Conclusion - l’étape immédiate à franchir
En 2026, la priorité des entreprises françaises est de maintenir la continuité des services critiques tout en se protégeant contre les vulnérabilités réseau. Le Windows 11 OOB hotpatch KB5084597 répond exactement à ce besoin : il neutralise la faille RRAS RCE sans imposer de redémarrage, garantissant ainsi la disponibilité des serveurs de routage et d’accès distant.
Nous vous conseillons de déployer immédiatement le hotpatch via Windows Autopatch, de confirmer son installation avec les scripts PowerShell fournis, puis de consigner la mise à jour dans votre tableau de bord de conformité. Cette démarche, soutenue par les meilleures pratiques de l’ANSSI (référence : guide « Gestion des correctifs » 2025) et les normes ISO 27001, vous assurera une posture de sécurité renforcée tout en respectant les exigences de continuité opérationnelle.
Protégez vos serveurs RRAS dès aujourd’hui : le hotpatch est disponible, la fenêtre de risque se referme chaque jour qui passe.