Microsoft Relança Hotpatch Para Windows 11 Que Corrige Falhas RRAS RCE Críticas
Aprofundamento CEVIU
Aprofundamento
O hotpatch KB5084597 não é uma atualização comum: ele corrige três falhas de estouro de inteiro no RRAS que geram condições de estouro de buffer em heap, um padrão perigoso porque permite execução remota de código com privilégios do sistema. Diferente de correções tradicionais, o hotpatch aplica a correção diretamente na memória ativa do serviço RRAS, sem reinicialização, mantendo serviços críticos online. Isso é essencial em ambientes corporativos onde o RRAS ainda é usado para VPNs baseadas em L2TP/IPsec ou roteamento de rede em filiais, especialmente em infraestruturas com alta disponibilidade exigida por SLAs.
As CVEs envolvidas (2026-25172, 2026-25173 e 2026-26111) têm um vetor de exploração específico: um atacante autenticado no domínio cria um servidor RRAS falso e induz um administrador ou usuário com acesso ao RRAS Snap-in a se conectar a ele, a partir daí, o código malicioso é executado com os mesmos privilégios do serviço, que roda como SYSTEM. A pontuação CVSS de 10 para a CVE-2026-26111 (em CVSS2) reforça o risco real de comprometimento completo do host, incluindo movimentação lateral via credenciais armazenadas ou tokens Kerberos em cache.
Por que isso importa
Empresas que usam RRAS em produção, especialmente em cenários de acesso remoto legados ou integração com equipamentos de rede antigos, estão expostas mesmo sem ter internet direta. O ataque não depende de exposição externa, apenas de autenticação no domínio e interação humana mínima. Como o hotpatch exige VBS habilitado e não funciona em todos os dispositivos (exclui CHPE em Arm64), muitas organizações podem acreditar erroneamente que estão protegidas após aplicar a atualização cumulativa de 10/03, mas só o hotpatch resolve o problema *sem downtime*. Isso torna a avaliação de elegibilidade técnica (não apenas de versão) um passo crítico antes da implantação em escala.
Perguntas frequentes
O hotpatch KB5084597 substitui a atualização cumulativa de março de 2026?
Não. Ele é complementar. A atualização cumulativa (lançada em 10/03) corrige as falhas, mas exige reinicialização. O hotpatch (13/03) aplica a mesma correção em tempo real, sem reboot, mas só em dispositivos elegíveis e com pré-requisitos atendidos, como VBS habilitado.
Meu servidor Windows Server 2022 está vulnerável?
Não. O hotpatch KB5084597 foi lançado exclusivamente para Windows 11 24H2, 25H2 e Enterprise LTSC 2024. O RRAS no Windows Server tem código diferente e não é afetado pelas mesmas CVEs. A Microsoft não divulgou correções para servidores nessa rodada.
Como saber se meu dispositivo é elegível para o hotpatch?
É preciso verificar três itens: sistema operacional compatível (Windows 11 24H2 ou superior), Segurança Baseada em Virtualização (VBS) ativada e, em dispositivos Arm64, Compiled Hybrid PE (CHPE) desabilitado. O comando 'msinfo32' mostra o status do VBS; o CHPE é verificado via 'Get-AppxPackage -Name "Microsoft.VCLibs.*" | Select Name'.
Posso aplicar o hotpatch manualmente em máquinas não gerenciadas por Intune?
Sim, mas com restrições. O hotpatch é distribuído via Windows Update e pode ser instalado manualmente em dispositivos individuais com Windows Autopatch habilitado ou via WSUS/Configuration Manager, desde que atendam aos pré-requisitos técnicos. Dispositivos fora dessas condições receberão apenas a atualização cumulativa com reboot.
Fontes
- bleepingcomputer.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 16 de março de 2026
- Editoria
- CEVIU Segurança da Informação
