Windows 11: patch urgente senza riavvio per una falla RCE nel servizio RRAS

Un aggiornamento di sicurezza distribuito fuori dal ciclo standard del Patch Tuesday (si dice out-of-band, OOB) richiama l’attenzione su una componente poco visibile ma critica dell’infrastruttura Windows. Microsoft ha rilasciato un aggiornamento di emergenza destinato a correggere una vulnerabilità di esecuzione di codice remoto legata agli strumenti di amministrazione del servizio di routing remoto. Il problema riguarda specifici ambienti enterprise basati su Windows 11 che utilizzano il meccanismo di aggiornamento senza riavvio introdotto negli ultimi anni per ridurre le interruzioni operative nei sistemi critici.

Il rilascio interessa in particolare i sistemi Windows 11 nelle versioni 24H2 e 25H2 e le installazioni Windows 11 Enterprise LTSC 2024 configurate per ricevere aggiornamenti tramite la tecnologia hotpatch.

Una vulnerabilità RCE nel servizio di routing remoto di Windows

Il difetto di sicurezza interessa il tool di gestione del Routing and Remote Access Service (RRAS), uno dei componenti storici della piattaforma Windows Server e delle edizioni enterprise di Windows. RRAS permette di configurare servizi di routing IP, VPN, accesso remoto e funzionalità di gateway all’interno delle reti aziendali.

Secondo le informazioni pubblicate da Microsoft, le vulnerabilità corrette sono identificate come CVE-2026-25172, CVE-2026-25173 e CVE-2026-26111.

In uno scenario di attacco plausibile, un attore con accesso autenticato al dominio potrebbe indurre un utente amministratore a stabilire una connessione verso un server RRAS controllato dall’attaccante. La comunicazione con il server malevolo consentirebbe di sfruttare il bug e ottenere l’esecuzione di codice sul sistema della vittima.

La vulnerabilità non riguarda l’utilizzo diretto dei servizi VPN da parte degli utenti finali. Il rischio emerge invece quando strumenti di amministrazione remota sono utilizzati per connettersi a infrastrutture compromesse o ostili.

In contesti enterprise, dove la gestione dei gateway di accesso remoto avviene tramite console centralizzate, il vettore in questione potrebbe diventare particolarmente pericoloso.

Distribuzione dell’aggiornamento KB5084597

Per mitigare rapidamente il problema, Microsoft ha rilasciato l’aggiornamento cumulativo KB5084597 come patch OOB. Gli aggiornamenti out-of-band sono pubblicati quando un problema  di sicurezza richiede una correzione immediata senza attendere il successivo ciclo mensile (secondo martedì del mese).

La patch include tutte le correzioni introdotte negli aggiornamenti di sicurezza di marzo 2026. In altre parole, un sistema che installa KB5084597 riceve anche tutte le modifiche già distribuite nel Patch Tuesday del 10 marzo scorso. La differenza principale riguarda la modalità di applicazione dell’aggiornamento, che sfrutta il meccanismo hotpatch per evitare il riavvio del sistema.

Molti sistemi aziendali svolgono ruoli critici – ad esempio controller di dominio, nodi di orchestrazione o server di accesso remoto – dove il riavvio può comportare interruzioni operative o necessità di finestre di manutenzione programmate.

Distribuzione automatica tramite Windows Autopatch

L’aggiornamento di emergenza KB5084597 non è distribuito a tutti i sistemi Windows 11. Microsoft lo rende disponibile esclusivamente ai dispositivi enterprise iscritti al programma hotpatch e gestiti tramite Windows Autopatch, il servizio di aggiornamento automatizzato integrato con Microsoft Intune.

Autopatch gestisce la distribuzione graduale degli aggiornamenti, applicando criteri di rollout progressivo e controlli di compatibilità. I dispositivi registrati ricevono automaticamente la patch senza interventi manuali da parte degli amministratori e senza riavviare il sistema operativo.

L’azienda ha inoltre dichiarato di aver ripubblicato alcune correzioni già diffuse in precedenza per garantire la copertura completa di tutti gli scenari di configurazione interessati dalla vulnerabilità.