Microsoft hat überraschend zum 13. März 2026 ein Notfall-Update (Hotfix) für Windows 11 24H2 und 25H2 veröffentlicht. Mit diesem Sicherheitsupdate soll ein Sicherheitsproblem im RRAS-Verwaltungstool (Windows Routing and REMOTE Access Service) behoben werden. Das Ganze steht nur über den Hotpatch-Kanal zur Verfügung, wie ich gesehen habe.
Ich bin über nachfolgenden Post von neowin.net auf diesen Sachverhalt aufmerksam geworden, der von Microsoft auf dieser Webseite dokumentiert wurde.
Zum Hotpatch KB5084597 für Windows 11 24H2-25H2 schreibt Microsoft, dass ein Sicherheitsproblem im Verwaltungstool für den Windows-Dienst "Routing und RAS" (RRAS) behoben wurde. Hintergrund ist, dass bei der Herstellung einer Verbindung zu einem böswilligen Remote-Server ein Angreifer das Tool stören oder Code auf dem Gerät ausführen könnte. Es sind gleich drei Schwachstellen gefixt worden:
- CVE-2026-25172: CVSS:3.1 8.0; Ein Integer-Überlauf oder -Überlauf mit Rundung im Windows-Dienst "Routing und RAS" (RRAS) ermöglicht es einem autorisierten Angreifer, Code über ein Netzwerk auszuführen. Laut Microsoft müsste der Angreifer in der Domäne authentifiziert sein. Dann könnte er diese Sicherheitslücke ausnutzen, indem er einen in die Domäne eingebundenen Benutzer dazu verleitet, über das RRAS-Snap-In (Routing and Remote Access Service) eine Anfrage an einen bösartigen Server zu senden. Dies könnte dazu führen, dass der Server bösartige Daten zurücksendet, die die Ausführung von beliebigem Code auf dem System des Benutzers ermöglichen könnten. Viele Einschränkungen also.
- CVE-2026-25173: CVSS:3.1 8.0; Auch hier ermöglicht ein Integer-Überlauf oder -Überlauf in den Windows-Diensten "Routing und RAS" (RRAS) es einem autorisierten Angreifer, Code über ein Netzwerk auszuführen. Auch hier muss der Angreifer in der Domäne autorisiert sein und einen anderen Domänenbenutzer zum Aufbau der Verbindung mit dem bösartigen Server bringen.
- CVE-2026-26111: CVSS:3.1 8.0; Auch hier gelten die bei den obigen Schwachstellen genannten Bedingungen zur Ausnutzung.
Weitere Informationen zu diesen Schwachstellen sind den verlinkten CVEs zu entnehmen. Eine Ausnutzung ist nicht bekannt und wird auch als weniger wahrscheinlich eingestuft.
MVP: 2013 – 2016
Da alle 3 Schwachstellen nur Domänenbenutzer ausnutzen können ist die Gefahr, das das jemand tatsächlich tut, sehr gering.
Und falls es jemandem von außerhalb gelingt, sich in der Domäne anzumelden, dann hat man ganz andere Probleme.
Lt. CVEdetails.com betreffen die Schwachstellen allerdings nicht nur Windows 11 24H2 und 25H2, sondern auch:
Server 2012, Server 2012 R2,
Server 2016 vor Version 10.0.14393.8957,
Server 2019 vor Version 10.0.17763.8511,
Server 2022 vor Version 10.0.20348.4830.
Server 2022 23H2 vor Version 10.0.25398.2207 und
Server 2025 vor Version 10.0.26100.32463
und auch Windows 10 vor 10.0.19044.7058
Bei Windows 10 (und evtl. auch anderen Systemen) ist die Schwachstelle wohl mit dem März Patchday geschlossen worden, denn nach dem März-Patchday hat Windows 10 die Versionsnummer 10.0.19044.7058.
Anscheinend hat Microsoft den Patch bei Windows 11 24H2 und 25H2 "vergessen".
Wenn man im Support-Artikel "Applies to" aufklappt, dann steht dort:
"Windows 11 Enterprise LTSC 2024"
Da steht nichts von 24H2 oder 25H2.
Warum gibt es den Patch nicht auch für die normalen Versionen 24H2 und 25H2 und warum nicht im Katalog zum Download?
*ttps://support.microsoft.com/en-us/topic/march-13-2026-hotpatch-kb5084597-os-builds-26200-7982-and-26100-7982-out-of-band-ef323fee-e70f-4f43-8bbc-1021c435bf5c
In dem hier im Blog verlinkten anderen Artikel steht auch nur "Windows 11 Enterprise version 25H2", aber nicht 24H2 oder 25H2 (ohne Enterprise).
*ttps://support.microsoft.com/en-us/topic/release-notes-for-hotpatch-on-windows-11-enterprise-version-25h2-0bbaa1c7-5070-41ca-a7c9-4ead79602dbf
Fehlen die Updates für 24H2 und 25H2 noch oder sind diese Versionen nicht betroffen?