就在昨天,微软悄悄发布了一个带外(out-of-band)更新——KB5084597,专门用于修复Windows 11企业版设备上的一处安全漏洞。需要先说明的是:这个热补丁只面向已经启用热补丁更新的设备,如果你使用的是标准Windows星期二更新,则无需关注。此外,安装完成后即可生效,无需重新启动,这对运行关键任务的设备来说是一个非常实用的设计。
注:此热补丁更新仅面向启用了热补丁更新的设备,接收标准 Windows 星期二更新的设备无需执行任何操作。此热补丁更新安装即生效,无需重启设备。
本次修复的核心是Windows路由和远程访问服务(RRAS)管理工具中的安全漏洞。简单来说,当用户连接到一台恶意RRAS服务器时,攻击者就能趁机远程执行恶意代码。影响范围涵盖Windows 11 25H2、24H2以及企业版LTSC 2024。
微软提供了三个漏洞编号:CVE-2026-25172、CVE-2026-25173 和 CVE-2026-26111。值得注意的是,这三枚漏洞其实在3月份的星期二更新中已经修补过,但微软这次重新发布是为了确保所有受影响场景都能被覆盖——用他们的话说,“实现全面覆盖”。

关于这三个漏洞的统一描述如下:在域上进行身份验证的攻击者,可通过诱使已加入域的用户,经由路由和远程访问服务(RRAS)管理单元向恶意服务器发送请求来利用此漏洞。
换句话说,攻击者并不需要直接闯入系统,而是通过诱导域内用户的操作来实现攻击目的。
说到这里,热补丁的机制值得一提。Windows更新通常需要重启设备,但一些运行关键任务的设备根本无法随意重启。热补丁的做法是对进程进行内存修补,使修复立即生效,同时更新磁盘上的文件,确保下次重启后修改依然保留。本次热补丁是累积性的,包含了3月10日发布的2026年3月Windows安全更新中的所有修复和改进。
最后强调一点:这个热补丁只会推送给已经加入热补丁更新计划、并通过Windows Autopatch管理的设备。在这些设备上,更新会自动安装,运维人员基本无需额外操作。总之,微软这次“补发”修复,更多是针对那些场景复杂、需要特殊保护的企业环境——但愿这次确实能堵住所有缺口。
