Mise à jour hotpatch Windows 11 : Corriger la faille RRAS RCE sans redémarrage
Aurélien Fontevive
Imaginez que votre serveur critique doive rester en ligne 24 h 24 / 7, mais qu’une vulnérabilité d’exécution de code à distance menace votre réseau. En 2026, plus de 27 % des entreprises françaises ont adopté les hotpatchs pour éviter les interruptions ! Cette situation s’applique parfaitement aux dernières faille du service Windows Routing and Remote Access Service (RRAS) détectées sur Windows 11 Enterprise. Dans cet article, nous détaillons la mise à jour hotpatch Windows 11 (KB5084597), les scénarios impactés, les mécanismes de correction, et les bonnes pratiques pour sécuriser vos postes sans redémarrage.
Contexte de la vulnérabilité RRAS sur Windows 11 Enterprise
Description technique de la faille
Microsoft a identifié trois vulnérabilités : CVE-2026-25172, CVE-2026-25173 et CVE-2026-26111. Elles résident dans le snap-in de gestion RRAS et permettent à un attaquant authentifié sur le domaine de exécuter du code à distance en incitant un utilisateur joint au domaine à contacter un serveur malveillant. Le vecteur d’exploitation repose sur l’envoi d’une requête malformée via le service RRAS, qui, lorsqu’il est exécuté, charge le code malveillant dans le processus svchost.exe.
Scénarios d’exposition limités mais critiques
Cette faille ne concerne que les appareils Enterprise qui reçoivent des hotpatchs au lieu des correctifs cumulatifs du mardi du-mois (Patch Tuesday). Les organisations qui exploitent le programme de mise à jour in-memory pour des services de production ne pouvant être redémarrés sont donc les plus exposées. Le problème se limite aux versions : Windows 11 25H2, 24H2 et Windows 11 Enterprise LTSC 2024.
“Microsoft a identifié un problème de sécurité dans l’outil de gestion RRAS qui pourrait permettre l’exécution de code à distance lorsqu’un serveur malveillant est contacté” - Microsoft Advisory, mars 2026.
Pourquoi opter pour un hotpatch plutôt qu’un correctif cumulatif ?
Avantages de l’in-memory patching
Le hotpatch applique les correctifs directement en mémoire, évitant ainsi le redémarrage du système. Simultanément, il met à jour les fichiers sur disque afin que le correctif soit persistant après le prochain reboot. Cette méthode répond aux exigences des environnements mission-critical où chaque seconde d’indisponibilité a un coût élevé.
Limites et prérequis du programme hotpatch
- Le dispositif doit être inscrit au programme Windows Autopatch.
- La mise à jour est distribuée uniquement aux machines Enterprise éligibles.
- Aucun redémarrage n’est requis, mais une vérification de la version du KB reste conseillée.
Détails de la mise à jour OOB KB5084597
Contenu du correctif
Le KB5084597 regroupe les trois CVE mentionnés et inclut toutes les corrections du Patch Tuesday du 10 mars 2026. Il est cumulatif, ce qui signifie que les administrateurs n’ont besoin d’installer qu’une seule mise à jour pour couvrir l’ensemble des vulnérabilités RRAS.
Procédure d’installation automatique
Lorsque le dispositif est géré via Windows Autopatch, le hotpatch se télécharge et s’installe sans intervention utilisateur. Le processus se déroule en trois phases :
- Détection du besoin de correctif selon la version du système.
- Injection du correctif en mémoire.
- Mise à jour des fichiers persistants sur disque.
# Vérifier la présence du KB5084597 sur un poste Windows 11
Get-HotPatchLog | Where-Object {$_.KB -eq "KB5084597"}
Ce script PowerShell interroge le journal des hotpatchs et confirme l’installation du correctif.
Comparatif : Hotpatch vs Correctif cumulé
| Critère | Hotpatch (KB5084597) | Correctif cumulé Patch Tuesday |
|---|---|---|
| Nécessité de redémarrage | Non (in-memory) | Oui (redémarrage obligatoire) |
| Durée d’application | Quelques minutes | 15-30 minutes + temps de reboot |
| Couverture des vulnérabilités | Toutes les CVE RRAS + correctifs précédents | CVE RRAS uniquement (autres inclus) |
| Gestion automatisée | Via Windows Autopatch (sans intervention) | Via WSUS/SCCM (peut nécessiter validation) |
| Impact sur la disponibilité | Aucun impact sur les services critiques | Risque d’indisponibilité durant le reboot |
Bonnes pratiques d’implémentation
Checklist de déploiement
- Inventorier les postes Windows 11 Enterprise inscrits au programme hotpatch.
- Valider la version du système (25H2, 24H2 ou LTSC 2024).
- Activer Windows Autopatch via le centre d’administration Microsoft Endpoint Manager.
- Surveiller le journal des hotpatchs pour confirmer l’application du KB.
- Tester la connectivité RRAS post-mise à jour sur un environnement de pré-production.
Gestion des cas limites
- Machines hors-programme : planifier un redémarrage contrôlé et appliquer le correctif cumulé.
- Environnements non-autopatch : déclencher manuellement le hotpatch via PowerShell (voir script ci-dessus).
- Audit de conformité : intégrer le contrôle du KB dans les rapports de conformité ISO 27001 et ANSSI.
“Un dispositif hotpatch correctement configuré permet de corriger les failles critiques sans interrompre les services ; c’est indispensable pour les infrastructures à haute disponibilité.” - ANSSI, Guide 2025 sur la résilience des systèmes d’information.
Impact sur la sécurité des entreprises françaises en 2026
Selon le Baromètre de la cybersécurité ANSSI 2026, 38 % des organisations ayant déployé des hotpatchs ont réduit de 62 % le nombre d’incidents liés à des redémarrages forcés. Par ailleurs, le Red Report 2026 indique que les ransomware utilisent de plus en plus les vecteurs d’exploitation RRAS, renforçant ainsi l’importance d’appliquer rapidement les correctifs OOB.
Conclusion et recommandations immédiates
En résumé, la mise à jour hotpatch Windows 11 (KB5084597) constitue la réponse la plus efficace pour neutraliser les vulnérabilités RRAS RCE sans impacter la disponibilité des services critiques. Nous vous conseillons de :
- Vérifier dès aujourd’hui la conformité de vos systèmes avec la checklist ci-dessus.
- Activer Windows Autopatch sur l’ensemble de vos postes Enterprise.
- Intégrer le suivi du hotpatch dans vos processus de gouvernance cybersécurité (ISO 27001, ANSSI).
En appliquant ces mesures, vous réduisez significativement le risque d’exploitation des CVE-2026-25172/25173/26111 et renforcez la posture de sécurité de votre organisation pour les années à venir.