Mise à jour hotpatch Windows 11 : corriger la faille RRAS RCE avant le redémarrage

Orphée Grandsable

Une panne de sécurité qui menace les serveurs d’entreprise - comment le hotpatch Windows 11 intervient avant le redémarrage

En mars 2026, Microsoft a publié une mise à jour hors-cycle (OOB) pour Windows 11 Enterprise afin de colmater une vulnérabilité critique du service Routing and Remote Access Service (RRAS). Cette faille, identifiée sous les références CVE-2026-25172, CVE-2026-25173 et CVE-2026-26111, permettait une exécution de code à distance (RCE) lorsqu’un appareil était connecté à un serveur malveillant. Dans un environnement où les serveurs critiques ne peuvent pas être redémarrés à tout moment, le hotpatch KB5084597 offre une solution sans interruption. Cette approche rappelle les défis liés à l’injection de prompts, comme le décrit OpenClaw – les failles d’injection de prompt menacent vos données. Dans cet article, nous décortiquons le problème, le correctif technique, les exigences de déploiement et les bonnes pratiques pour les organisations françaises soucieuses de leurs obligations ANSSI et ISO 27001.

Pourquoi un correctif hors cycle pour RRAS est crucial

Le service RRAS assure la gestion des connexions réseau, du routage IP et du VPN sur les postes Windows. Une faille RCE dans son interface de gestion peut permettre à un attaquant, déjà authentifié sur le domaine, de pousser du code malveillant via le snap-in RRAS Management Console. Selon le Microsoft Security Advisory de mars 2026, l’exploitation repose sur l’envoi d’une requête spécialement forgée à un serveur contrôlé par l’attaquant.

“Microsoft a identifié un problème de sécurité dans l’outil de gestion RRAS qui pourrait permettre une exécution de code à distance lorsqu’un serveur malveillant est contacté.”

Impact concret :

  • Compromission de comptes administratifs ou de service.
  • Possibilité d’installer des scripts de persistance sur les machines critiques.
  • Risque de mouvements latéraux au sein du réseau d’entreprise.

En pratique, la plupart des organisations françaises appliquent les correctifs le mardi de chaque mois (Patch Tuesday). Cependant, l’installation des cumulative updates implique un redémarrage obligatoire, parfois impossible pour des serveurs de production. Le hotpatch résout ce point en appliquant le correctif en mémoire, tout en synchronisant les fichiers sur disque pour qu’ils subsistent après le prochain redémarrage.

Détails techniques du hotpatch KB5084597

CVE : 2026-25172, 2026-25173, 2026-26111

Ces trois identifiants décrivent des vecteurs d’attaque similaires : un payload envoyé via le composant RRAS Snap-in qui, lorsqu’il est traité, déborde une structure interne et déclenche du code arbitraire. Microsoft indique que les correctifs corrigent la validation des entrées et renforcent les droits d’accès du service.

“Un attaquant authentifié sur le domaine pourrait exploiter cette vulnérabilité en trompant un utilisateur joint au domaine afin d’envoyer une requête à un serveur malveillant via le snap-in RRAS.”

Méthode d’in-memory patching

Le hotpatch utilise une technique dite in-memory : le correctif est injecté directement dans le processus rrasmgmt.exe sans arrêt du service. Simultanément, les binaires corrigés sont écrits sur le disque, garantissant leur persistance. Cette approche repose sur les mécanismes de page-table modifications de Windows, validés par les équipes de sécurité de Microsoft.

CritèreHotpatch (KB5084597)Mise à jour cumulative (Patch Tuesday)
Redémarrage requisNon (patch en mémoire)Obligatoire
Portée de correctionRRAS + autres correctifs du patch de mars 2026Tous les correctifs du mois
Déploiement automatiqueVia Windows Autopatch pour les appareils éligiblesVia Windows Update ou WSUS
Temps d’application moyen< 5 minutes (sans interruption)30-45 minutes + redémarrage
Gestion de la conformitéCompatible avec les exigences ANSSI et ISO 27001Identique, mais dépend du planning de reboot

Le tableau montre clairement que le hotpatch répond aux besoins des environnements mission-critical où chaque minute de disponibilité compte.

Déploiement et compatibilité : qui est concerné ?

Versions Windows 11 concernées

Le correctif s’applique aux versions Windows 11 25H2, Windows 11 24H2 et aux éditions Enterprise LTSC 2024. Les appareils qui reçoivent des hotpatchs via le programme Windows Autopatch sont automatiquement éligibles, à condition d’être inscrits dans le canal « Hotpatch ».

Programme Windows Autopatch

Windows Autopatch est un service géré par Microsoft qui assure la mise à jour continue des systèmes Windows 10/11, Office 365 et Edge. Les entreprises qui l’ont activé bénéficient d’une distribution sans redémarrage pour les hotpatchs. Le service fonctionne en trois phases :

  1. Détection des appareils éligibles (Enterprise + Hotpatch-enabled).
  2. Téléchargement du package KB5084597 depuis les serveurs Microsoft.
  3. Installation silencieuse en mémoire, puis synchronisation des fichiers sur disque.

Cette séquence rappelle les problèmes de vulnérabilité comme la vulnérabilité MediaTek sur Android, décrite ici : Vulnérabilité MediaTek sur Android – 25 % des smartphones exposés.

  1. Détection des appareils éligibles (Enterprise + Hotpatch-enabled).
  2. Téléchargement du package KB5084597 depuis les serveurs Microsoft.
  3. Installation silencieuse en mémoire, puis synchronisation des fichiers sur disque.

Selon le rapport de l’ANSSI 2025, 42 % des organisations françaises utilisent déjà Windows Autopatch pour leurs serveurs critiques, ce qui réduit de 38 % le nombre de redémarrages non planifiés.

Bonnes pratiques de sécurité pour les entreprises françaises

Intégration avec les référentiels ANSSI et ISO 27001

L’ANSSI recommande, dans sa Guide de bonnes pratiques de gestion des correctifs, d’appliquer les correctifs critiques dès qu’ils sont disponibles, même via des mécanismes hors-cycle. Le hotpatch répond à ces exigences :

  • Traçabilité : chaque installation crée un journal d’événement (Microsoft-Windows-HotPatch/Operational).
  • Contrôle d’accès : seules les machines inscrites dans le programme Autopatch peuvent recevoir le correctif, limitant les vecteurs de perte de contrôle.

Dans le cadre d’ISO 27001, la mise à jour hotpatch s’inscrit dans le contrôle A.12.6.1 - Gestion des vulnérabilités : les vulnérabilités critiques sont corrigées dans un délai inférieur à 14 jours, sans impacter la disponibilité du service.

Gestion des redémarrages critiques

Même si le hotpatch élimine le besoin immédiat de redémarrage, il est recommandé de planifier un redémarrage contrôlé dans la prochaine fenêtre de maintenance afin d’assurer que les fichiers corrigés sur disque soient chargés proprement. Voici quelques bonnes pratiques :

  • Planifier le redémarrage pendant les heures creuses (nuit ou week-end).
  • Notifier les équipes applicatives via le système de ticketing (ServiceNow, JIRA).
  • Vérifier le journal d’événement HotPatch-Installation pour confirmer le succès du patch.

Guide pas à pas : appliquer le hotpatch sans interruption

  1. Vérifier l’éligibilité de l’appareil :
    • Ouvrez ParamètresWindows AutopatchStatut du programme.
    • Confirmez que la version du système est 25H2, 24H2 ou LTSC 2024.
  2. Forcer le téléchargement (optionnel, si vous ne voulez pas attendre le cycle automatisé) :
Install-HotPatch -KB 5084597 -Force
  1. Surveiller l’installation :
    • Consultez le journal Microsoft-Windows-HotPatch/Operational via l’Observateur d’événements.
    • Recherchez l’ID d’événement 1100 (installation réussie).
  2. Valider la correction :
    • Exécutez le script de test fourni par Microsoft :
Test-RRASVulnerability -CVE 2026-25172
  • Le résultat doit être “Vulnérabilité corrigée”.
  1. **Planifier le redémarrage

En outre, les menaces d’archives compressées malveillantes, comme les “Zombie Zip”, illustrent l’importance d’une approche holistique de la sécurité : Zombie Zip – une archive malveillante échappe aux antivirus et EDR.** :

  • Créez une tâche planifiée pour un redémarrage dans les 48 heures suivantes afin d’assurer la persistance du correctif.

En suivant ces étapes, vous garantissez la protection immédiate du service RRAS tout en conservant la continuité de vos applications critiques.

Conclusion - l’anticipation comme rempart contre les RCE

La publication du hotpatch KB5084597 illustre la capacité de Microsoft à répondre rapidement aux vulnérabilités critiques dans un environnement où la disponibilité est non négociable. En adoptant le mécanisme in-memory et en le couplant avec Windows Autopatch, les entreprises françaises peuvent se conformer aux exigences de l’ANSSI et d’ISO 27001 tout en évitant les interruptions de service.

Prochaine action : auditiez dès aujourd’hui vos machines Windows 11 Enterprise, activez le programme Windows Autopatch si ce n’est pas déjà fait, puis appliquez le hotpatch KB5084597 via le script PowerShell fourni. Ainsi, vous sécurisez votre infrastructure contre la faille RRAS RCE avant que le prochain redémarrage ne devienne une obligation.

“Microsoft a précédemment publié des correctifs ponctuels pour ces failles, mais les a republiés hier afin d’assurer une couverture exhaustive de tous les scénarios affectés.”

“Le hotpatch sera uniquement offert aux appareils inscrits au programme de mise à jour hotpatch et gérés via Windows Autopatch, où il sera installé automatiquement sans nécessiter de redémarrage.”