Microsoft hat überraschend zum 13. März 2026 ein Notfall-Update (Hotfix) für Windows 11 24H2 und 25H2 veröffentlicht. Mit diesem Sicherheitsupdate soll ein Sicherheitsproblem im RRAS-Verwaltungstool (Windows Routing and REMOTE Access Service) behoben werden. Das Ganze steht nur über den Hotpatch-Kanal zur Verfügung, wie ich gesehen habe.
Ich bin über nachfolgenden Post von neowin.net auf diesen Sachverhalt aufmerksam geworden, der von Microsoft auf dieser Webseite dokumentiert wurde.
Zum Hotpatch KB5084597 für Windows 11 24H2-25H2 schreibt Microsoft, dass ein Sicherheitsproblem im Verwaltungstool für den Windows-Dienst "Routing und RAS" (RRAS) behoben wurde. Hintergrund ist, dass bei der Herstellung einer Verbindung zu einem böswilligen Remote-Server ein Angreifer das Tool stören oder Code auf dem Gerät ausführen könnte. Es sind gleich drei Schwachstellen gefixt worden:
- CVE-2026-25172: CVSS:3.1 8.0; Ein Integer-Überlauf oder -Überlauf mit Rundung im Windows-Dienst "Routing und RAS" (RRAS) ermöglicht es einem autorisierten Angreifer, Code über ein Netzwerk auszuführen. Laut Microsoft müsste der Angreifer in der Domäne authentifiziert sein. Dann könnte er diese Sicherheitslücke ausnutzen, indem er einen in die Domäne eingebundenen Benutzer dazu verleitet, über das RRAS-Snap-In (Routing and Remote Access Service) eine Anfrage an einen bösartigen Server zu senden. Dies könnte dazu führen, dass der Server bösartige Daten zurücksendet, die die Ausführung von beliebigem Code auf dem System des Benutzers ermöglichen könnten. Viele Einschränkungen also.
- CVE-2026-25173: CVSS:3.1 8.0; Auch hier ermöglicht ein Integer-Überlauf oder -Überlauf in den Windows-Diensten "Routing und RAS" (RRAS) es einem autorisierten Angreifer, Code über ein Netzwerk auszuführen. Auch hier muss der Angreifer in der Domäne autorisiert sein und einen anderen Domänenbenutzer zum Aufbau der Verbindung mit dem bösartigen Server bringen.
- CVE-2026-26111: CVSS:3.1 8.0; Auch hier gelten die bei den obigen Schwachstellen genannten Bedingungen zur Ausnutzung.
Weitere Informationen zu diesen Schwachstellen sind den verlinkten CVEs zu entnehmen. Eine Ausnutzung ist nicht bekannt und wird auch als weniger wahrscheinlich eingestuft.
MVP: 2013 – 2016
Da alle 3 Schwachstellen nur Domänenbenutzer ausnutzen können ist die Gefahr, das das jemand tatsächlich tut, sehr gering.
Und falls es jemandem von außerhalb gelingt, sich in der Domäne anzumelden, dann hat man ganz andere Probleme.
Lt. CVEdetails.com betreffen die Schwachstellen allerdings nicht nur Windows 11 24H2 und 25H2, sondern auch:
Server 2012, Server 2012 R2,
Server 2016 vor Version 10.0.14393.8957,
Server 2019 vor Version 10.0.17763.8511,
Server 2022 vor Version 10.0.20348.4830.
Server 2022 23H2 vor Version 10.0.25398.2207 und
Server 2025 vor Version 10.0.26100.32463
und auch Windows 10 vor 10.0.19044.7058
Bei Windows 10 (und evtl. auch anderen Systemen) ist die Schwachstelle wohl mit dem März Patchday geschlossen worden, denn nach dem März-Patchday hat Windows 10 die Versionsnummer 10.0.19044.7058.
Anscheinend hat Microsoft den Patch bei Windows 11 24H2 und 25H2 "vergessen".
Wenn man im Support-Artikel "Applies to" aufklappt, dann steht dort:
"Windows 11 Enterprise LTSC 2024"
Da steht nichts von 24H2 oder 25H2.
Warum gibt es den Patch nicht auch für die normalen Versionen 24H2 und 25H2 und warum nicht im Katalog zum Download?
*ttps://support.microsoft.com/en-us/topic/march-13-2026-hotpatch-kb5084597-os-builds-26200-7982-and-26100-7982-out-of-band-ef323fee-e70f-4f43-8bbc-1021c435bf5c
In dem hier im Blog verlinkten anderen Artikel steht auch nur "Windows 11 Enterprise version 25H2", aber nicht 24H2 oder 25H2 (ohne Enterprise).
*ttps://support.microsoft.com/en-us/topic/release-notes-for-hotpatch-on-windows-11-enterprise-version-25h2-0bbaa1c7-5070-41ca-a7c9-4ead79602dbf
Fehlen die Updates für 24H2 und 25H2 noch oder sind diese Versionen nicht betroffen?
Natürlich hat 24H2 und 25H2 auch den Patch.
Physisch vorhanden und teilweise freigeschaltet war er bereits im Februar Preview. Freigeschaltet per Default bei (fast) allen wurde er mit 26×00.8037.
Ausnahmen in einzelnen Konfigurationen kann man natürlich wie immer nicht ausschließen.
Der Redaktionsschluss für 26×00 ist mittlerweile fast eine Woche nach dem für 1904x um "Erfahrungen" der allgemeinen Testkarnickel mit Home oder Pro noch berücksichtigen zu können:
10.0.1904x.7058 28.02.2026
10.0.226×1.6783 01.03.2026
10.0.26×00.8036 05.03.2026
Server bekommen kritische Änderungen wegen möglicher Nebenwirkungen oft noch etwas später. Teilweise auch erst nach den allgemeinen Patchtag.
Jetzt habe ich es kapiert:
Wenn "Hotpatching" aktiviert ist, dann bekommt man die kumulativen Baseline-Updates nur noch in den Monaten Januar, April, Juli und Oktober.
Dazwischen erhält man nur die Hotpatches.
Der Fix wird dann also im nächsten kumulativen Baseline-Update im April enthalten sein und bis dahin nur als Hotpatch.
Der Fix ist aber auch jetzt schon im kumulativen März-Update enthalten für alle Windows-Versionen, die kein Hotpatching einsetzen, also auch für 24H2 und 25H2.