Microsoft startete gestern ein Off-Cycle-Update für Windows 11 Enterprise-Teams, die die sogenannten Hotpatches anstelle der üblichen kumulativen Updates am zweiten Dienstag jedes Monats erhalten. Die Korrektur, verteilt als KB5084597, adressiert Fehler im RRAS-Management-Tool, die Remote-Code-Ausführung ermöglichen könnten, wenn ein Computer mit einem bösartigen Server verbindet.
Laut Microsoft werden die aufgelösten Schwachstellen als CVE-2026-25172, CVE-2026-25173 und CVE-2026-26111. In allen drei Fällen erfordert der Angriff einen Benutzer eines an der Domäne angebrachten Computers, der für die RRAS-Konsole verstorben ist, um eine Verbindung zu einem vom Angreifer gesteuerten Server herzustellen, was zur Ausführung von Code auf der Verwaltungsmaschine führen könnte.
Die KB5084597 Hotpatch Abdeckungen Windows 11 Einrichtungen in den 25H2 und 24H2 Versionen sowie Windows 11 Enterprise LTSC 2024 Systeme. Microsoft erklärt, dass diese Korrekturen bereits Teil der im März Patch Dienstag veröffentlichten Sicherheitsupdates waren, aber im Hotpatch-Format neu veröffentlicht wurden Berichterstattung in Szenarien zu gewährleisten, in denen ein geplanter Neustart nicht machbar ist wie bei Geräten, die kritische Dienste unterstützen und im laufenden Betrieb bleiben müssen.
Der entscheidende Unterschied zwischen einem normalen kumulativen Update und einem Hotpatch ist sein Anwendungsmodus. Während Akkumulationen in der Regel das System neu starten, so dass Festplattendateien aktualisiert und Prozesse neu gestartet werden, Hotpatches verwenden Speicheränderungen, um Schwachstellen zu mildern, ohne laufende Dienste zu unterbrechen und gleichzeitig die Festplattendateien zu aktualisieren, so dass die Korrektur nach dem nächsten Start fortbesteht. Microsoft erklärt diesen Mechanismus und seine Verwaltung innerhalb von Windows Autopatch in seiner eigenen Dokumentation Hotpatch Updates.
Es ist wichtig zu betonen, dass diese Hotpatch angeboten wird allein ein Gerät, das im Hotpatch-Programm registriert und von Windows Autopatch verwaltet wird; in diesen Geräten wird das Update automatisch und ohne Anforderung zum Neustart installiert. Für den Rest der Umgebungen, Schutz gegen diese Fehler weiterhin die Installation von kumulativen Updates veröffentlicht im März und, wenn nicht von Autopatch verwaltet, planen Sie den notwendigen Neustart, um die Reparatur abzuschließen.
Aus praktischer und sicherheitstechnischer Sicht gibt es mehrere Schlussfolgerungen und Schritte, die jeder Infrastrukturbetreiber berücksichtigen sollte. Zuerst überprüfen Sie, welche Maschinen der Organisation in Windows Autopatch registriert sind und, wenn nicht, priorisieren Sie die Installation von kumulativen Updates und planen Sie den Neustart in Wartungsfenstern. Zweitens, begrenzen Sie die Verwendung von Verwaltungskonsolen und verhindern, dass Management-Equipment mit unzuverlässigen Servern zu verbinden; das beschriebene Risiko hängt genau davon ab, dass das RRAS-Tool mit einem schädlichen Ende verbunden ist. Drittens, überprüfen Netzwerksegmentierung und Zugriffsrichtlinien, um die Exposition von Verwaltungsstationen auf nicht zertifizierte externe Server zu reduzieren.
Microsoft gab bereits an, dass es frühere Hotfixes für diese Fehler veröffentlicht hatte und dass die verteilte Version nun darauf abzielt, Lücken schließen in allen betroffenen Szenarien. Sogar Manager sollten die technischen Eingabe- und Sicherheitsseiten von KB lesen, um den genauen Umfang zu verstehen und die Schritte in ihrer Umgebung zu bestätigen. Die Hotpatch-Unterstützung ist auf der oben genannten Microsoft-Seite verfügbar und die detaillierten Einträge jeder CVE finden Sie im Microsoft-Sicherheitskatalog: Microsoft Security Response Center.
Wenn Sie Geräte verwalten, die nicht Teil des Hotpatch-Programms sind und häufige Neustarts nicht zulassen können, ist es angebracht, eine zusätzliche Minderungsstrategie zu planen: die Remote-Administration durch kontrollierte Netzwerke zu beschränken, dedizierte Verwaltungsstationen mit der minimal installierten Software zu verwenden, und Zugriffskontrollen anzuwenden, die die Wahrscheinlichkeit verringern, dass ein authentifizierter Benutzer induziert wird, um Verbindungen mit schädlichen Servern herzustellen.
Kurz gesagt, die Entstehung von KB5084597 erinnert an zwei einfache, aber relevante Ideen: Erstens, dass Remote-Management-Tools Angriffsvektoren werden können, wenn die Verbindungen, die sie herstellen, nicht kontrolliert werden; zweitens, dass Technologien wie Hotpatch versuchen, die operativen Einschränkungen kritischer Umgebungen zu kompensieren, so dass Schwachstellen ohne sofortige Neuanfang zu korrigieren. Für weitere Informationen und zum Download des Updates, falls zutreffend, wenden Sie sich bitte an die Microsoft Support Note und die Seiten der CVE, auf die wir oben verlinken.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...