Windows 11 bekommt Notfall-Hotpatch gegen RRAS-Sicherheitslücke ohne Neustart

Microsoft hat außerplanmäßig den Hotpatch KB5084597 für Windows 11 Enterprise veröffentlicht. Für aktuelle Windows News ist das vor allem deshalb relevant, weil der Patch nicht Teil eines normalen Neustart-Zyklus ist, sondern gezielt für Geräte mit aktivierter Hotpatch-Verwaltung nachgeschoben wurde. Geschlossen werden drei Sicherheitslücken im Verwaltungswerkzeug des Windows Routing and Remote Access Service (RRAS), die unter bestimmten Bedingungen eine Remotecodeausführung ermöglichen können. Microsoft nennt dafür die Kennungen CVE-2026-25172, CVE-2026-25173 und CVE-2026-26111.

Warum Microsoft einen separaten Hotpatch ausrollen musste

Die drei RRAS-Lücken waren zwar bereits in den regulären Sicherheitsupdates vom März 2026 adressiert worden, Microsoft hat KB5084597 aber zusätzlich als Out-of-band-Hotpatch für bestimmte Enterprise-Systeme nachgereicht. Der Grund ist laut Microsoft einfach: Der Patch richtet sich nur an Geräte, die für Hotpatch aktiviert sind und über Windows Autopatch verwaltet werden. Diese Systeme erhalten die Korrektur automatisch, ohne dass ein Neustart nötig ist. Geräte, die den normalen Windows-Update-Pfad nutzen, brauchen dagegen nichts weiter zu tun, weil sie die Fixes schon über das reguläre März-Update bekommen haben.

Hotpatch funktioniert dabei anders als ein klassisches kumulatives Update. Microsoft beschreibt das Verfahren so, dass Sicherheitskorrekturen direkt in den laufenden Speicher aktiver Prozesse eingespielt werden und zugleich auf die Festplatte geschrieben werden, damit sie nach dem nächsten regulären Neustart erhalten bleiben. Genau das macht Hotpatch für Geräte interessant, bei denen ungeplante Neustarts möglichst vermieden werden sollen. Microsoft erklärt im Windows-11-Release-Health-Bereich außerdem grundsätzlich, dass auf ein quartalsweises Baseline-Update mit Neustart in den Folgemonaten Hotpatch-Updates ohne Neustart folgen können.

Welche Geräte betroffen sind und wie die Lücke ausgenutzt werden kann

Nach Microsofts Beschreibung betrifft KB5084597 Windows 11 Enterprise auf den Versionen 24H2 und 25H2. In den Support-Hinweisen wird außerdem erklärt, dass Hotpatch inzwischen allgemein für Arm64-Geräte mit Windows 11 24H2 und 25H2 verfügbar ist, sofern die Voraussetzungen erfüllt und die Systeme in eine Qualitätsupdate-Richtlinie mit aktiviertem Hotpatch aufgenommen wurden. Der eigentliche Sicherheitsfehler sitzt im RRAS-Verwaltungswerkzeug. Verbindet sich ein betroffenes Gerät mit einem bösartigen Remote-Server, kann ein Angreifer das Tool stören oder Code auf dem Gerät ausführen.

Für normale Windows-11-Nutzer ist die wichtigste Einordnung deshalb eher beruhigend. Microsoft betont mehrfach, dass für Systeme, die Standardupdates erhalten, keine zusätzliche Aktion nötig ist. Die Notfallveröffentlichung ist also kein Zeichen dafür, dass plötzlich alle Windows-11-Geräte ungepatcht offenstehen, sondern eher ein gezielter Nachschlag für eine spezielle Enterprise-Konfiguration. Für IT-Abteilungen mit Hotpatch-Enrollment ist der Patch dennoch relevant, weil RRAS zu den klassischen Verwaltungswerkzeugen gehört, bei denen ein Fehler im falschen Umfeld schnell größere Folgen haben kann.