Microsoft опублікував позапланове оновлення безпеки для Windows 11 Enterprise 24H2 та деяких серверних версій, що усуває критичну вразливість віддаленого виконання коду у службі Routing and Remote Access Service. Вразливість дозволяє неавторизованому атакуючому надіслати спеціально сформований пакет на вразливий RRAS-сервер і виконати довільний код з правами SYSTEM. Microsoft класифікував вразливість як критичну (CVSS 9.8), оскільки вона не вимагає автентифікації та може призвести до повного контролю над системою. Патч випущено окремо від щомісячного Patch Tuesday через потенційну активну експлуатацію. Компанія не надала доказів масової експлуатації, але рекомендувала негайне застосування для всіх систем з увімкненим RRAS. Вразливість виявлена внутрішньою командою Microsoft Security Response Center під час аудиту legacy-компонентів.

Наслідки вразливості включають потенційну компрометацію корпоративних VPN-серверів, домен-контролерів чи файлових серверів з увімкненим RRAS, що могло б призвести до латерального руху в мережі, розгортання ransomware або встановлення backdoor. Організації, які використовують RRAS для віддаленого доступу, зазнали б значних ризиків без оновлення, включаючи втрату конфіденційності даних та порушення доступності. Цей патч дозволив швидко застосувати фікс без перезавантажень, але для деяких систем все одно потрібне перезавантаження. Microsoft підтвердив, що вразливість не торкнулася сучасних альтернатив RRAS. Загальна кількість потенційно уражених систем — тисячі enterprise-розгортань з legacy-конфігураціями.