Microsoft a lancé une mise à jour hors cycle hier pour les équipes Windows 11 Enterprise qui reçoivent les hotpatches au lieu des mises à jour cumulatives habituelles le deuxième mardi de chaque mois. La correction, distribuée comme suit: Numéro de référence, corrige les défaillances dans l'outil de gestion RRAS qui pourraient permettre l'exécution de code à distance si un ordinateur se connecte à un serveur malveillant.
Selon Microsoft, les vulnérabilités résolues sont identifiées comme CVE-2026-25172, CVE-2026-25173 et CVE-2026-26111. Dans les trois cas, l'attaque exige qu'un utilisateur d'un ordinateur attaché au domaine soit trompé pour que la console RRAS établisse une connexion à un serveur contrôlé par l'attaquant, ce qui pourrait entraîner l'exécution de code sur la machine administrative.
Les couvertures de hotpatch KB5084597 Windows 11 installations dans les versions 25H2 et 24H2, ainsi que Windows 11 Enterprise LTSC 2024 systèmes. Microsoft précise que ces corrections faisaient déjà partie des mises à jour de sécurité publiées dans le Mars Patch mardi, mais ont été rééditées en format hotpatch assurer la couverture dans les scénarios où un redémarrage prévu n'est pas viable comme dans l'équipement qui soutient les services essentiels et doit rester en exploitation continue.
La différence clé entre une mise à jour cumulative normale et un hotpatch est son mode d'application. Bien que les accumulations nécessitent habituellement de redémarrer le système de sorte que les fichiers de disque soient mis à jour et que les processus soient réintroduits, les hotpatches appliquent des changements de mémoire pour atténuer les vulnérabilités sans interrompre les services d'exécution et, en même temps, mettent à jour les fichiers de disque de sorte que la correction persiste après le prochain départ. Microsoft explique ce mécanisme et sa gestion au sein de Windows Autopatch dans sa documentation dédiée à mises à jour hotpatch.
Il est important de souligner que ce hotpatch sera offert seul un appareil enregistré dans le programme Hotpatch et géré par Windows Autopatch; dans ces équipements, la mise à jour est installée automatiquement et sans demande de redémarrage. Pour le reste des environnements, la protection contre ces défaillances continue d'être l'installation de mises à jour cumulatives publiées en mars et, si elles ne sont pas gérées par Autopatch, planifier le redémarrage nécessaire pour terminer la réparation.
Du point de vue pratique et sécuritaire, il y a plusieurs conclusions et étapes que tout gestionnaire d'infrastructure devrait prendre en considération. Tout d'abord, vérifiez quelles machines de l'organisation sont enregistrées dans Windows Autopatch et, sinon, prioriser l'installation de mises à jour cumulatives et programmer le redémarrage dans les fenêtres de maintenance. Deuxièmement, limiter l'utilisation des consoles administratives et empêcher les équipements de gestion de se connecter à des serveurs peu fiables; le risque décrit dépend précisément de l'outil RRAS connecté à une fin malveillante. Troisièmement, examiner les politiques de segmentation du réseau et d'accès afin de réduire l'exposition des stations administratives aux serveurs externes non vérifiés.
Microsoft a déjà indiqué qu'il avait publié des précédents hotfixs pour ces échecs et que la version distribuée vise maintenant à combler les lacunes dans tous les scénarios concernés;. Néanmoins, les gestionnaires devraient lire les pages d'entrée technique et de vulnérabilité de KB pour comprendre la portée exacte et confirmer les mesures à prendre dans leur environnement. La note de support hotpatch est disponible sur la page Microsoft mentionnée ci-dessus, et les entrées détaillées de chaque CVE peuvent être trouvées dans le catalogue de sécurité Microsoft: Centre de réponse de sécurité de Microsoft.
Si vous gérez des équipements qui ne font pas partie du programme Hotpatch et ne permettent pas de redémarrer fréquemment, il est approprié de planifier une stratégie d'atténuation supplémentaire : restreindre l'administration à distance par des réseaux contrôlés, utiliser des stations de gestion dédiées avec le logiciel minimum installé, et appliquer des contrôles d'accès qui réduisent la probabilité qu'un utilisateur authentifié soit amené à établir des connexions avec des serveurs malveillants.
En bref, l'émergence de KB5084597 rappelle deux idées simples mais pertinentes: la première, que les outils de gestion à distance peuvent devenir vecteurs d'attaque si les connexions qu'ils créent ne sont pas contrôlées; la seconde, que les technologies telles que hotpatch cherchent à compenser les limites opérationnelles des environnements critiques, permettant de corriger les vulnérabilités sans redémarrage immédiat. Pour plus d'informations et pour télécharger la mise à jour s'il y a lieu, veuillez vous référer à la note d'assistance Microsoft et aux pages du CVE auxquelles nous nous référons ci-dessus.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...