En un movimiento poco habitual fuera del ciclo habitual de parches, Microsoft ha desplegado el hotpatch KB5084597 para atajar una serie de vulnerabilidades críticas que afectan al Servicio de Enrutamiento y Acceso Remoto (RRAS) en Windows 11. La noticia ha saltado este 13 de marzo de 2026, destacando no solo por la gravedad de los fallos, sino por la tecnología utilizada para remediarlos: una actualización que se aplica directamente en la memoria del sistema sin interrumpir la actividad ni requerir el reinicio del equipo.
El riesgo: Ejecución remota de código (RCE)
La alerta se centra en tres vulnerabilidades de alta severidad (CVE-2026-25172, CVE-2026-25173 y CVE-2026-26111) localizadas en la herramienta de gestión y el complemento (snap-in) de RRAS. Estos fallos permiten a un atacante autenticado en el dominio ejecutar código arbitrario de forma remota.
El vector de ataque es sofisticado: el atacante debe engañar a un usuario con privilegios (como un administrador de red) para que inicie una conexión desde la consola de RRAS hacia un servidor malicioso controlado por el perpetrador. Una vez establecida la conexión, un desbordamiento de enteros en el procesamiento de la respuesta del servidor permite al atacante tomar el control del dispositivo del administrador o provocar una denegación de servicio (DoS) masiva en la infraestructura de red.
Despliegue mediante "Hotpatching"
La gran ventaja de la actualización KB5084597 es el uso de la tecnología de hotpatching. Esta técnica, que Microsoft ha ido extendiendo a versiones Enterprise y LTSC, permite parchear procesos en ejecución en la RAM.
- Sin reinicio: Vital para servidores de acceso remoto y entornos críticos que no pueden permitirse ventanas de mantenimiento imprevistas.
- Alcance: El parche está dirigido específicamente a las versiones 24H2 y 25H2 de Windows 11 Enterprise, así como a la versión LTSC 2024.
- Requisito: Los dispositivos deben estar inscritos en el programa de hotpatch y ser gestionados a través de Windows Autopatch o Microsoft Intune.
Recomendaciones preventivas
Aunque el parche se instala automáticamente en sistemas gestionados, los administradores de sistemas deben verificar que sus equipos han alcanzado las compilaciones de SO 26100.7982 (para 24H2) o 26200.7982 (para 25H2).
Para aquellos usuarios o empresas que no utilizan el canal de hotpatching, estas correcciones ya fueron incluidas en el Patch Tuesday del 10 de marzo, pero en esos casos sí es obligatorio el reinicio para que la protección sea efectiva. En un ecosistema donde el acceso remoto es la columna vertebral del trabajo híbrido, asegurar las herramientas de administración es el primer paso para evitar un movimiento lateral dentro de la red corporativa.
0 Comentarios