SchwachstellenHackerangriffe

Microsoft veröffentlicht Notfall-Hotpatch für kritische RRAS-Sicherheitslücke in Windows 11

Microsoft veröffentlicht Notfall-Hotpatch für kritische RRAS-Sicherheitslücke in Windows 11
Zusammenfassung

Microsoft hat einen außerplanmäßigen Sicherheitspatch für Windows 11 Enterprise veröffentlicht, um kritische Sicherheitslücken in der Routing and Remote Access Service (RRAS) Management-Tools zu beheben. Die Schwachstellen, die unter den CVE-Nummern CVE-2026-25172, CVE-2026-25173 und CVE-2026-26111 katalogisiert sind, ermöglichen es Angreifern, der Ausführung von bösartigem Code auf anfälligen Systemen. Das Update KB5084597 wurde vor allem deshalb außerordentlich freigegeben, weil es speziell für Geräte entwickelt wurde, die über das Hotpatch-Programm aktualisiert werden und nicht auf traditionelle Patch-Tuesday-Updates angewiesen sind. Dies ist insbesondere für Unternehmen bedeutsam, die Systeme für geschäftskritische Anwendungen betreiben und häufige Neustarts nicht tolerieren können. In Deutschland betrifft dies vor allem größere Organisationen, Behörden und Finanzinstitute, die Windows 11 Enterprise-Systeme mit Hotpatch-Verwaltung durch Windows Autopatch einsetzen. Die Lücken entstehen durch Social Engineering: Ein angemeldeter Angreifer kann Domain-Benutzer dazu verleiten, Anfragen an einen bösartigen Server zu senden. Während die Schwachstellen bereits im März 2026 geschlossen wurden, ermöglicht der Hotpatch eine Behebung ohne notwendigen Neustart und bietet somit schnelleren Schutz für sensible Infrastrukturen.

Microsoft hat das Hotpatch-Update KB5084597 gestern veröffentlicht, um drei kritische Sicherheitslücken zu beheben: CVE-2026-25172, CVE-2026-25173 und CVE-2026-26111. Diese Schwachstellen waren bereits im März 2026-Patch Tuesday-Update enthalten, doch Microsoft hat sie nun zusätzlich als Hotpatch bereitgestellt.

Die Lücken betreffen das Windows Routing and Remote Access Service (RRAS) Management-Tool und ermöglichen Remote Code Execution durch manipulierte Server. Ein authentifizierter Angreifer könnte ein Domain-Mitglied dazu verleiten, über die RRAS Snap-in eine Anfrage an einen bösartigen Server zu senden. Besonders tückisch: Die Angriffe funktionieren nur bei Geräten, die über Hotpatch-Updates verwaltet werden und für Remote-Server-Management eingesetzt werden – also typischerweise in Unternehmensumgebungen.

Das Update gilt für Windows 11 in den Versionen 25H2 und 24H2 sowie für Windows 11 Enterprise LTSC 2024. Microsoft betont, dass diese Schwachstellen “nur bei limitierter Szenarien mit Enterprise-Client-Geräten” relevant sind.

Der entscheidende Vorteil von Hotpatches liegt in ihrer Funktionsweise: Sie patchen den laufenden Prozess direkt im Speicher, ohne dass ein Systemneustart erforderlich ist. Dies ist für Unternehmen essentiell, deren Systeme 24/7 verfügbar sein müssen. Gleichzeitig aktualisieren Hotpatches auch die Dateien auf der Festplatte, sodass die Sicherheitsfixes nach dem nächsten Neustart erhalten bleiben.

Microsoft erklärt, dass das Update kumulativ ist und alle Fixes vom März 2026-Update enthält. Das Unternehmen hatte zunächst bereits Hotfixes veröffentlicht, gibt diese aber nun erneut frei, “um umfassende Abdeckung aller betroffenen Szenarien zu gewährleisten”.

Das Hotpatch wird automatisch auf Geräten installiert, die im Windows Autopatch-Programm eingeschrieben sind – ein cloudgestütztes Verwaltungssystem von Microsoft. Der automatische Rollout verhindert manuelle Deployments in großen Infrastrukturen und sorgt für schnellere Sicherheitsabdeckung. Für deutsche Unternehmen mit komplexen IT-Infrastrukturen könnte dies eine sinnvolle Alternative zu regulären Updates darstellen, insbesondere wenn kritische Systeme nicht heruntergefahren werden dürfen.

Ähnliche Artikel