Microsoft ha lanzado un hotpatch fuera de banda, KB5084597, para Windows 11 Enterprise en el canal de hotpatch. La actualización corrige tres CVE de Remote Code Execution (RCE) relacionadas con la herramienta de administración de RRAS, y se instala automáticamente sin reinicio en equipos inscritos en Windows Autopatch.
El objetivo es corregir tres vulnerabilidades de Remote Code Execution (RCE) asociadas a la herramienta de administración de Windows Routing and Remote Access Service (RRAS), concretamente al uso del RRAS management tool / snap-in cuando un administrador o usuario con permisos se conecta a un servidor que resulta ser malicioso.
Según la información disponible, los fallos están registrados como CVE-2026-25172, CVE-2026-25173 y CVE-2026-26111. El escenario de ataque descrito no es un ‘wormable’ típico ni una explotación automática a gran escala: requiere que un atacante esté autenticado en el dominio y que consiga engañar a un usuario unido al dominio (por ejemplo, un administrador que gestione infraestructura) para que, desde la consola o el complemento de administración de RRAS, envíe una solicitud o inicie una conexión hacia un servidor controlado por el atacante. En ese contexto, la vulnerabilidad podría permitir la ejecución de código de forma remota en el equipo del usuario o en el flujo de administración, lo que incrementa el riesgo en entornos donde la gestión remota de servicios de red es habitual.
Un punto relevante es que KB5084597 se describe como un hotpatch acumulativo que incorpora todas las correcciones y mejoras incluidas en la actualización de seguridad de marzo de 2026 (el Patch Tuesday del 10 de marzo). En otras palabras, para organizaciones que no estén en el programa de hotpatch, la ruta esperada sigue siendo aplicar las actualizaciones acumulativas estándar de marzo, que ya incluirían la corrección para estos CVE.
En cambio, para quienes dependen de hotpatch (precisamente para reducir interrupciones y evitar reinicios frecuentes en endpoints), el valor del OOB es claro: se distribuye solo a dispositivos elegibles inscritos en Windows Autopatch/hotpatch y puede instalarse sin reinicio, reduciendo ventanas de mantenimiento y el impacto operativo. Microsoft también indica que se ha relanzado para ‘garantizar cobertura integral’ en todos los escenarios afectados, lo que sugiere un ajuste de alcance o de implementación para cubrir casos que podrían no haber quedado plenamente mitigados.
Como medidas prácticas, los equipos de IT y seguridad deberían verificar que los dispositivos Windows 11 elegibles (incluyendo Windows 11 version 24H2, Windows 11 version 25H2 y Windows 11 Enterprise LTSC 2024 dentro del programa) hayan recibido KB5084597. Además, conviene reforzar controles operativos alrededor de la administración de RRAS: limitar conexiones administrativas a servidores conocidos y confiables, y endurecer los procedimientos para reducir la probabilidad de que personal con privilegios sea inducido a conectarse a infraestructura no autorizada.
Más información
- BleepingComputer: https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-windows-11-oob-hotpatch-to-fix-rras-rce-flaw/
Deja una respuesta