Hotpatch-Update KB5084597 für Windows 11: Schnellere Behebung kritischer Sicherheitslücken

Microsoft hat ein out-of-band Hotpatch-Update (KB5084597) veröffentlicht, das drei schwerwiegende Remote-Code-Execution-Lücken im Windows Routing and Remote Access Service (RRAS) Management-Tool schließt. Das Update richtet sich speziell an Windows 11 Enterprise-Geräte, die im Hotpatch-Programm eingeschrieben sind, und ermöglicht die sofortige Behebung ohne Neustart – ein entscheidender Vorteil für Unternehmen, die kontinuierliche Verfügbarkeit benötigen.

Was ist das Hotpatch-Update KB5084597?

Das Hotpatch-Update ist eine spezielle Methode, Sicherheitsfixes direkt im Arbeitsspeicher laufender Prozesse zu applizieren. Im Gegensatz zu herkömmlichen kumulativen Updates, die einen Neustart erfordern, wird das Hotpatch-Update sofort wirksam und die korrigierten Dateien werden gleichzeitig auf die Festplatte geschrieben, sodass die Korrektur nach einem geplanten Neustart erhalten bleibt. Das Update ist kumulativ und enthält alle Fixes des März-2026 Patch-Tuesday-Updates.

Welche kritischen Sicherheitsanfälligkeiten werden behoben?

Im Rahmen von KB5084597 wurden drei CVEs adressiert:

CVE-2026-25172
CVE-2026-25173
CVE-2026-26111

Alle drei Schwachstellen betreffen das RRAS-Snap-in und ermöglichen authentifizierten Angreifern, über Social-Engineering-Techniken Remote-Code-Execution auf dem Zielgerät zu initiieren. Die Angreifer müssen im Domain-Umfeld authentifiziert sein und können ein Domain-verbundenes Opfer dazu bringen, eine Anfrage an einen bösartigen Server zu senden.

Details zu den Sicherheitsanfälligkeiten

Die Sicherheitslücken CVE-2026-25172, CVE-2026-25173 und CVE-2026-26111 ermöglichen potenzielle Remote-Code-Ausführungen, was enorme Risiken für Unternehmensnetzwerke darstellt. Die Angreifer müssen dafür authentifiziert sein und können durch geschickte Manipulationen über das RRAS-Snap-in Remote-Code ausführen. Solche Exploits können verheerende Folgen für die Sicherheit von Unternehmensnetzwerken haben, weshalb es entscheidend ist, diese spezifischen Schwachstellen schnell zu schließen.

Warum ein separates Hotpatch-Update benötigt wurde

Standard-Cumulative-Updates erfordern einen Neustart, um die Korrekturen wirksam zu machen. Für mission-kritische Geräte, bei denen ungeplante Neustarts nicht praktikabel sind, bietet das Hotpatch-Verfahren eine Lösung: Es patcht laufende Prozesse im Speicher, wodurch die Fixes sofort wirksam werden, ohne den Betrieb zu unterbrechen.

Die Sicherheitsanfälligkeiten CVE-2026-25172, CVE-2026-25173 und CVE-2026-26111 stellen erhebliche Risiken dar, da sie es authentifizierten Benutzern ermöglichen, durch geschickte Manipulationen Remote-Code-Ausführungen auf betroffenen Geräten durchzuführen. Solche Exploits können verheerende Folgen für die Sicherheit von Unternehmensnetzwerken haben, weshalb es entscheidend ist, diese spezifischen Schwachstellen schnell zu schließen.

Hotpatch-Upgrade-Programm für Unternehmen

Das Hotpatch-Update-Programm wurde speziell für Unternehmen entwickelt, um kritische Sicherheitsupdates ohne Unterbrechungen anzuwenden. Es richtet sich an Windows 11-Versionen 24H2, 25H2 und Enterprise LTSC 2024. Unternehmen, die im Programm eingeschrieben sind, erhalten das Update automatisch über Windows Autopatch, und die Installation erfordert keinen Neustart.

Anzahl unterstützter Windows-Versionen: 3 (24H2, 25H2, Enterprise LTSC 2024)
Betroffene Windows-Versionen: 3 Versionen (nach Quelle S1)
Gesamtzahl behobener CVEs: 3 (Jahr 2026)

Vorteile für Unternehmen

Schnelle Behebung kritischer Sicherheitslücken ohne Systemneustart
Minimierung von Ausfallzeiten für mission-kritische Anwendungen
Automatische Verteilung über das Hotpatch-Programm und Windows Autopatch
Persistente Korrekturen, die nach einem regulären Neustart erhalten bleiben

Abhängigkeit vom Hotpatch-Programm

Der Hotpatch wird ausschließlich an Geräte verteilt, die im Hotpatch-Programm eingeschrieben sind. Unternehmen, die nicht im Programm teilnehmen, bleiben bis zum regulären Patch-Tuesday-Update verwundbar und müssen auf das herkömmliche Update warten, das einen Neustart erfordert.

Wie Hotpatch im Vergleich zu regulären Updates funktioniert

Ein Hotpatch erfordert keinen Neustart des Geräts, während reguläre Updates oft einen Neustart benötigen, was die Implementierung in Unternehmensumgebungen verkomplizieren kann. Durch In-Memory-Patch-Technologie wird das Fix sofort aktiv, und die geänderten Dateien werden gleichzeitig auf die Festplatte geschrieben, um die Persistenz sicherzustellen.

Fazit

Das Hotpatch-Update KB5084597 stellt eine wichtige Weiterentwicklung für die IT-Sicherheit von Unternehmen dar. Durch die sofortige, reboot-freie Behebung von drei kritischen RRAS-Schwachstellen (CVE-2026-25172, CVE-2026-25173, CVE-2026-26111) wird das Risiko von Remote-Code-Execution signifikant reduziert. Unternehmen, die im Hotpatch-Programm eingeschrieben sind, profitieren von hoher Verfügbarkeit und automatischer, unterbrechungsfreier Bereitstellung. Nicht-eingeschriebene Unternehmen müssen jedoch weiterhin auf das reguläre März-2026-Patch-Tuesday-Update warten, das einen Neustart erfordert.

FAQ

Was ist der Unterschied zwischen Hotpatch und regulärem Update?

Ein Hotpatch erfordert keinen Neustart des Geräts, während reguläre Updates oft einen Neustart benötigen, was die Implementierung in Unternehmensumgebungen verkomplizieren kann.

Welche Windows-Versionen werden vom Hotpatch-Update unterstützt?

Windows 11 Version 24H2, 25H2 und Windows 11 Enterprise LTSC 2024.

Wie können Angreifer die RRAS-Schwachstellen ausnutzen?

Ein authentifizierter Angreifer kann einen Domain-verbundenen Benutzer dazu bringen, über das RRAS-Snap-in eine Anfrage an einen bösartigen Server zu senden, wodurch Remote-Code-Execution ermöglicht wird.

Was passiert, wenn ein Gerät nicht im Hotpatch-Programm ist?

Geräte, die nicht im Hotpatch-Programm eingeschrieben sind, erhalten die Korrekturen erst über das reguläre März-10-Patch-Tuesday-Update, das einen Neustart erfordert.