Ad imageAd image
Bezpieczeństwo

Awaryjna aktualizacja Windows 11 (KB5084597): koniec groźnych ataków przez usługę RRAS

Czas czytania 7 min

W skrócie

Microsoft wydał awaryjną poprawkę KB5084597 dla Windows 11 24H2 i 25H2, która łata krytyczne luki w usłudze Routing and Remote Access Service (RRAS), umożliwiające zdalne wykonanie kodu. Aktualizacja jest dostarczana jako tzw. hotpatch, czyli może zostać zastosowana bez pełnego restartu systemu na obsługiwanych urządzeniach. To szczególnie ważne dla firm, administratorów i osób korzystających z VPN, zdalnego dostępu i połączeń między sieciami, bo atakujący mógł wcześniej przejąć kontrolę nad serwerem lub zakłócić pracę całej sieci.

Spis treści

Najważniejsze informacje o KB5084597

Poprawka KB5084597 to awaryjna aktualizacja bezpieczeństwa skierowana do systemów Windows 11 w kanałach 25H2 i 24H2, w tym wydań LTSC 2024 i nowszych. Jej głównym zadaniem jest wyeliminowanie krytycznych luk w module sieciowym odpowiedzialnym za funkcję Routing and Remote Access Service (RRAS).

Microsoft klasyfikuje tę aktualizację jako priorytetową, bo dotyczy ona zdalnego wykonywania kodu (Remote Code Execution) – jednego z najgroźniejszych typów podatności. W skrócie: jeśli funkcja RRAS była skonfigurowana i wystawiona w sieci, atakujący mógł, po spełnieniu określonych warunków, uruchomić na serwerze własny kod lub zablokować jego działanie, wykorzystując błędy w obsłudze ruchu sieciowego.

Więcej ogólnych informacji o aktualizacjach bezpieczeństwa Windows znajdziesz na oficjalnej stronie Microsoft.

Jakie luki łata KB5084597 i jak działa atak?

W biuletynie bezpieczeństwa Microsoft wskazano trzy konkretne podatności: CVE-2026-25172, CVE-2026-25173 oraz CVE-2026-26111, wszystkie związane z usługą RRAS. Łączy je to, że błędy w przetwarzaniu określonych danych sieciowych mogły prowadzić do:

  • przepełnienia całkowitoliczbowego (integer overflow),
  • wpadnięcia w nieskończoną pętlę w procesie obsługującym ruch.

W efekcie autoryzowany atakujący z dostępem do sieci mógł wymusić sytuację, w której:

  • usługa RRAS przestaje odpowiadać lub destabilizuje inne narzędzia sieciowe,
  • dochodzi do zdalnego wykonania kodu, czyli uruchomienia przygotowanego przez atakującego programu na zdalnym serwerze.

Szczególnie niebezpieczny scenariusz dotyczy administratora, który próbuje połączyć się z zainfekowanym/złośliwym serwerem zdalnym przy użyciu narzędzi RRAS – w takiej sytuacji kontrolę nad urządzeniem może przejąć druga strona.

Spis luk i informacje o ich statusie są dostępne w przewodniku po aktualizacjach zabezpieczeń na stronie Microsoft Security Update Guide.

Czym jest RRAS i kto powinien najbardziej się przejmować?

Routing and Remote Access Service (RRAS) to funkcja systemu Windows, która zamienia serwer lub zaawansowaną stację roboczą w programowy router/VPN gateway. Pozwala ona:

  • zestawiać połączenia VPN między oddziałami firmy lub między użytkownikami a biurem,
  • routować ruch między różnymi sieciami LAN i WAN,
  • korzystać z protokołów dynamicznego routingu, jak w klasycznych urządzeniach sieciowych.

Tego typu konfiguracje najczęściej spotykamy w:

  • firmach z rozproszonymi zespołami i intensywnym wykorzystaniem pracy zdalnej,
  • środowiskach testowych i labowych administratorów,
  • mniejszych organizacjach, które zbudowały własne rozwiązanie VPN na bazie Windows Server/Windows 11.

Jeśli korzystasz z domowego PC z Windows 11 bez zaawansowanych ról sieciowych, ryzyko jest zdecydowanie mniejsze, ale i tak warto zainstalować poprawkę, bo Microsoft w tej paczce dodatkowo stabilizuje komunikację sieciową między LAN i WAN.

Ogólny opis RRAS i funkcji zdalnego dostępu znajdziesz w dokumentacji na stronie wsparcia Microsoft.

Hotpatch – co to znaczy, że aktualizacja instaluje się „w locie”?

Ciekawym elementem KB5084597 jest to, że dla części urządzeń z Windows 11 aktualizacja jest dostarczana jako hotpatch. Oznacza to, że:

  • łatka może zostać zastosowana bez pełnego ponownego uruchomienia systemu,
  • poprawki bezpieczeństwa wchodzą w życie szybciej, co ogranicza „okno podatności”,
  • użytkownik i administrator nie muszą planować długich przerw w działaniu usług.

Oczywiście w niektórych środowiskach wciąż zalecany jest restart w dogodnym momencie, aby upewnić się, że wszystkie komponenty zostały zainicjowane z poprawionymi bibliotekami, ale sam fakt, że Microsoft aktywnie rozwija hotpatching, jest dobrą wiadomością dla serwerów i infrastruktury o wysokiej dostępności.

Instrukcje ręcznego sprawdzenia aktualizacji znajdziesz w artykule o Windows Update na stronie Microsoft.

Jak sprawdzić, czy KB5084597 jest już zainstalowana?

Aby upewnić się, że Twój system korzysta z ochrony zapewnianej przez KB5084597, wykonaj poniższe kroki:

  1. Otwórz Ustawienia → Windows Update → Historia aktualizacji i odszukaj wpis dotyczący „Aktualizacja zabezpieczeń KB5084597”.
  2. Jeśli poprawka jest obecna, system jest już zabezpieczony przed opisywanymi atakami.
  3. Jeśli jej nie widzisz, wybierz opcję „Sprawdź aktualizacje” i pozwól systemowi pobrać oraz zainstalować nową paczkę.

Microsoft podkreśla, że brak tej aktualizacji w środowisku, gdzie RRAS jest aktywnie używany, oznacza realne ryzyko – szczególnie w sieciach narażonych na kontakt z niezaufanymi hostami zewnętrznymi.

Bezpośredni opis poprawki wraz z listą obsługiwanych wersji znajduje się w artykule supportu: KB5084597 – March 13, 2026 hotpatch.

Dlaczego ta łatka jest tak ważna z punktu widzenia bezpieczeństwa sieci?

Ataki na usługi sieciowe, takie jak RRAS, są szczególnie niebezpieczne, bo często dotyczą maszyn pełniących rolę bramy – jeśli zostaną przejęte, napastnik może:

  • podsłuchiwać lub manipulować ruchem przechodzącym przez serwer,
  • pivotować dalej w sieci wewnętrznej, atakując inne urządzenia,
  • zakłócić działanie kluczowych usług VPN i komunikacji między oddziałami.

Krytyczne luki w zdalnym wykonywaniu kodu to dokładnie ten typ podatności, który regularnie widzimy w głośnych kampaniach ransomware i zaawansowanych atakach na infrastrukturę firmową. Dlatego zwlekanie z instalacją KB5084597 nie ma większego sensu, szczególnie jeśli Twój system działa w środowisku produkcyjnym lub jest wystawiony na świat.

Podsumowanie

Awaryjna poprawka KB5084597 dla Windows 11 24H2/25H2 nie jest „zwykłym patchem”, który można zignorować do czasu kolejnego restartu – łata ona krytyczne luki RCE w usłudze RRAS, a Microsoft wydał ją poza standardowym cyklem właśnie ze względu na wagę problemu. Hotpatching, który pozwala ją wdrożyć bez długich przestojów, dodatkowo obniża próg wejścia i sprawia, że argument „nie mam czasu na aktualizacje” traci sens.

W mojej ocenie każdy, kto korzysta z VPN, zdalnego dostępu lub zaawansowanych funkcji sieciowych Windows, powinien potraktować KB5084597 jako aktualizację typu „instaluj natychmiast”, a administratorzy powinni uwzględnić ją w swoich procedurach bezpieczeństwa na równi z łataniem krytycznych podatności w routerach czy firewallach.

Czy na swoich maszynach z Windows 11 masz włączone automatyczne instalowanie aktualizacji zabezpieczeń, czy wolisz ręcznie kontrolować, które poprawki trafiają do systemu?

Jesteś naszym klientem?

Awaria sprzętu?

Problem ze sprzętem?

Zgłoś chęć naprawy

Nasza oferta

Pogoda dla Wrocławia
15°C
Wrocław
bezchmurnie
16° _ 14°
50%
7 km/h
sob.
14 °C
niedz.
11 °C
pon.
11 °C
wt.
9 °C
śr.
10 °C