В условиях растущей угрозы со стороны киберпреступников, способных использовать уязвимости в сетевых компонентах для проникновения в корпоративные системы, оперативность закрытия брешей становится критически важной. В середине марта 2026 года корпорация Microsoft подтвердила этот тренд, выпустив внеплановое экстренное обновление безопасности для Windows 11. Речь идёт о критических проблемах в компоненте удалённого доступа, которые открывают путь для полного захвата контроля над устройством. Данный инцидент вновь актуализирует вопросы своевременного обновления систем, особенно в инфраструктуре, где используются службы маршрутизации и виртуальные частные сети.
Уязвимости RRAS
Обновление, получившее идентификатор KB5084597, было выпущено 13 марта 2026 года вне стандартного ежемесячного цикла патчей, что подчёркивает высокую степень опасности обнаруженных проблем. Целью обновления стало устранение уязвимостей удалённого выполнения кода в инструменте управления службой маршрутизации и удалённого доступа, известной как RRAS. Этот сетевой компонент является ключевым для системных администраторов, так как позволяет настраивать параметры маршрутизации и разворачивать VPN-сервисы. Уязвимости в таком важном элементе операционной системы создают чрезвычайные риски для организаций любого масштаба.
Технический анализ показал, что Microsoft идентифицировала три отдельные, но связанные уязвимости, зарегистрированные под идентификаторами CVE-2026-25172, CVE-2026-25173 и CVE-2026-26111. Основной вектор атаки предполагает сценарий, при котором пользователь подключается к специально сконфигурированному вредоносному удалённому серверу. Если злоумышленнику удаётся обманом заставить цель установить такое соединение, он получает возможность нарушить работу самого инструмента управления RRAS. Однако главная опасность заключается в возможности удалённого выполнения кода. Это означает, что атакующий может запустить произвольный вредоносный код на скомпрометированном устройстве, что открывает путь к краже данных, установке программ-вымогателей или продвижению вглубь корпоративной сети.
Для минимизации простоев критически важных систем, где перезагрузка нежелательна, Microsoft использовала современный метод доставки исправления - так называемый «горячий патч». Технология hotpatch позволяет установить обновление безопасности и активировать его немедленно, в фоновом режиме, без необходимости перезагрузки устройства. Такой бесшовный процесс обеспечивает защиту систем без прерывания ежедневных операций или разрыва активных сетевых подключений, что особенно важно для серверов и рабочих станций, работающих в режиме непрерывной обработки данных.
Обновление применяется к системам под управлением Windows 11 версий 25H2 и 24H2. Важно отметить, что данный выпуск доступен только для устройств, у которых явным образом активирована функция получения "горячих" патчей. Устройства, настроенные на получение стандартных обновлений Windows, не требуют ручных действий для установки этого конкретного исправления, так как их обновление будет обработано через обычные запланированные каналы. Помимо непосредственно исправления уязвимостей, Microsoft включила в пакет последнее обновление стека обслуживания, что гарантирует стабильность и надёжность самого механизма обновлений Windows.
С точки зрения практических действий для обеспечения безопасности, администраторам и пользователям рекомендовано выполнить несколько ключевых шагов. Во-первых, необходимо убедиться, что служба Центра обновления Windows активна, так как на устройствах с поддержкой горячего патча исправление загрузится и установится автоматически. Во-вторых, следует подтвердить, что система работает на целевых сборках операционной системы. Кроме того, в рамках мониторинга инцидентов безопасности целесообразно проверить журналы сетевой безопасности на предмет необычных исходящих подключений к неизвестным удалённым серверам, что может указывать на попытку эксплуатации уязвимостей в инструменте RRAS. Для отслеживания статуса проблемы и возможных новых проблем, связанных с этими уязвимостями, полезно следить за официальной панелью управления состоянием выпусков Windows.
В заключение стоит подчеркнуть, что данный случай наглядно демонстрирует эволюцию как угроз, так и методов защиты. Злоумышленники целенаправленно ищут уязвимости в критически важных сетевых службах, чтобы получить максимальный контроль. В свою очередь, вендоры, такие как Microsoft, внедряют более гибкие технологии, подобные горячим патчам, позволяющие закрывать бреши практически мгновенно, без ущерба для бизнес-процессов. Для организаций это служит напоминанием о необходимости поддерживать инфраструктуру в актуальном состоянии и использовать все доступные современные механизмы оперативного применения исправлений безопасности.
Ссылки
- https://support.microsoft.com/en-us/topic/march-13-2026-hotpatch-kb5084597-os-builds-26200-7982-and-26100-7982-out-of-band-ef323fee-e70f-4f43-8bbc-1021c435bf5c
- https://www.cve.org/CVERecord?id=CVE-2026-25173
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-25173
- https://www.cve.org/CVERecord?id=CVE-2026-25172
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-25172
- https://www.cve.org/CVERecord?id=CVE-2026-26111
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26111
