Le 13 mars 2026, Microsoft a publié hors cycle la mise à jour KB5084597 pour corriger trois vulnérabilités RCE dans le snap-in MMC (Microsoft Management Console) du service RRAS (Routing and Remote Access Service) : CVE-2026-25172, CVE-2026-25173 et CVE-2026-26111.
Surface d’attaque et vecteur d’exploitation
La vulnérabilité réside dans le snap-in RRAS utilisé pour l’administration distante de serveurs. Le vecteur est côté client : c’est le poste d’administration qui est compromis, pas le serveur RRAS lui-même. Un attaquant authentifié sur le domaine doit inciter un utilisateur à initier une connexion depuis le snap-in RRAS vers un serveur malveillant sous son contrôle. L’exploitation abuse donc de la relation de confiance implicite entre le poste joint au domaine et le composant de gestion MMC lors de l’établissement de la session de management distant.
Périmètre affecté
Exclusivement les postes Windows 11 Enterprise (24H2, 25H2, LTSC 2024) inscrits au programme de hotpatch via Windows Autopatch et utilisés pour des opérations d’administration distante via RRAS. Les serveurs RRAS eux-mêmes ne sont pas dans le périmètre de cette mise à jour spécifique.
Mécanisme de livraison : hotpatch vs cumulative update
Les trois CVE étaient déjà corrigées dans la mise à jour cumulative du Patch Tuesday du 10 mars 2026, laquelle nécessite un redémarrage. Pour les devices sous hotpatch, KB5084597 applique les corrections directement en mémoire (in-memory patching) sur les processus en cours d’exécution, sans redémarrage. Les fichiers sur disque sont simultanément mis à jour afin que les correctifs persistent lors du prochain redémarrage planifié. Microsoft précise avoir republié ce hotpatch pour garantir une couverture complète de l’ensemble des scénarios affectés.
Les actions pour les équipes patch management et VOC que je recommande
- Identifier les endpoints Windows 11 Enterprise 24H2/25H2/LTSC 2024 inscrits à Windows Autopatch et vérifier le déploiement automatique de KB5084597 dans la console Autopatch.
- Pour les endpoints hors Autopatch : confirmer l’application de la mise à jour cumulative du 10 mars 2026 et le redémarrage effectif.
- Prioriser les postes utilisés pour l’administration distante de serveurs via RRAS (profils admin, jump hosts, bastions Windows).
- Les trois CVE étant identiquement décrites, un scoring CVSS uniforme est probable — à confirmer sur le MSRC lors de la publication officielle.
Sources :
- BleepingComputer – Microsoft releases Windows 11 OOB hotpatch to fix RRAS RCE flaw (14 mars 2026) : https://www.bleepingcomputer.com/news/security/microsoft-releases-windows-11-oob-hotpatch-to-fix-rras-rce-flaw/
- Microsoft Support – KB5084597 (13 mars 2026) : https://support.microsoft.com/en-us/topic/kb5084597
- CVE-2026-25172 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-25172
- CVE-2026-25173 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-25173
- CVE-2026-26111: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26111
