Windows 11-lek via serververbindingen: wat er speelt
In Windows 11 zat een beveiligingslek waarmee een aanvaller op afstand code kon uitvoeren via een serververbinding. Het probleem zat in een netwerkdienst die vooral in zakelijke omgevingen wordt gebruikt, niet zozeer bij thuisgebruikers. Werk je in een bedrijfsnetwerk met Windows 11, dan is dit er wel eentje waar je even naar moet kijken.
Microsoft heeft het lek inmiddels gedicht via de reguliere beveiligingsupdate van maart. Daarnaast is er een aparte hotpatch uitgebracht voor systemen die je liever niet opnieuw opstart. Dat is vooral handig voor servers en werkstations die bedrijfskritische taken uitvoeren.
Voor de meeste thuisgebruikers verandert er weinig, zolang je Windows Update gewoon zijn werk laat doen. In een zakelijke omgeving ligt dat anders, zeker als je met VPN, beheer op afstand of speciale managementtools werkt. Dan wil je weten waar dit over gaat en of jouw systemen geraakt worden.
Wat er precies mis was in Windows 11
Het lek zit in de dienst Routing and Remote Access Service, of kort RRAS. Die dienst zorgt ervoor dat gebruikers en locaties op afstand met elkaar kunnen verbinden, bijvoorbeeld via een VPN of een beheerverbinding. In veel bedrijven draait RRAS op servers of speciale beheerwerkplekken.
De kwetsbaarheden zijn vastgelegd onder de codes CVE-2026-25172, CVE-2026-25173 en CVE-2026-26111. In de kern komt het erop neer dat een aanvaller code kan uitvoeren zodra jouw systeem verbinding maakt met een kwaadwillende of misbruikte server. Je hoeft dan niet eerst een bestand te openen of op een verdachte link te klikken.
Dat maakt dit soort lekken vervelend: het gaat mis op het moment dat de software contact maakt met de verkeerde server. Als jouw systeem RRAS gebruikt voor VPN of beheer, kan een fout ingestelde of overgenomen server al genoeg zijn. Juist daarom zijn dit soort diensten gevoelige plekken in je netwerk.
Belangrijk om te weten: dit is geen lek dat standaard elke Windows 11-pc raakt. RRAS moet actief zijn of gebruikt worden in je omgeving. In veel thuisnetwerken is dat niet het geval, in bedrijfsnetwerken juist wel.
Hoe aanvallers het lek konden misbruiken
De kwetsbaarheid speelt op het moment dat jouw systeem praat met een server die zich anders voordoet dan hij is. Maak je verbinding met zo’n kwaadwillende server, dan kan die speciaal gemaakte data naar jouw apparaat sturen. Door de fout in RRAS kan die data vervolgens als code worden uitgevoerd.
Je hoeft als gebruiker niet bewust iets fout te doen. Het kan al misgaan zodra een beheerder, script of geautomatiseerd proces verbinding legt met een verkeerde server. Denk aan een verkeerd geconfigureerde beheeromgeving, een testserver die open op het netwerk staat of een aanvaller die zich voordoet als legitieme RRAS- of VPN-server.
In de praktijk betekent dit dat een aanvaller code kan draaien met de rechten van de dienst of gebruiker die de verbinding maakt. Op een server met beheerrechten is dat een stuk ernstiger dan op een beperkt account. In grotere netwerken kan zo’n lek een opstap zijn naar verdere toegang en laterale beweging binnen het domein.
Daarom zijn juist beheerwerkplekken en managementservers extra interessant voor aanvallers. Die hebben vaak brede rechten, draaien al jaren mee en worden niet altijd zo strak opgeschoond als gewone werkplekken. Als daar RRAS of aanverwante diensten op draaien, heb je een risico dat je niet wilt negeren.
Voor wie dit lek echt relevant is
Microsoft geeft zelf aan dat de impact vooral speelt bij een specifieke groep systemen. Het gaat met name om Enterprise-clientapparaten die hotpatchupdates gebruiken en worden ingezet voor beheer op afstand van servers. Dat zijn vaak laptops of vaste werkplekken van beheerders en speciale managementstations.
Gebruik je gewoon de standaard Windows-updates en maak je geen gebruik van de RRAS-managementtool, dan val je volgens Microsoft buiten de directe risicogroep. Thuisgebruikers met Windows 11 Home of Pro die alleen via Windows Update bijwerken, hebben hier in de praktijk weinig mee te maken. Toch blijft het verstandig om updates niet eindeloos uit te stellen.
Werk je in een omgeving waar RRAS, VPN-servers of remote beheer een rol spelen, dan is het een ander verhaal. Dan is dit precies zo’n lek dat je liever snel dicht. Zeker als er beheeraccounts, domeinrechten of gevoelige servers aan gekoppeld zijn.
Ook als je denkt dat je RRAS niet actief gebruikt, is het slim om te controleren of de dienst misschien toch ergens draait. Oude pilots, vergeten testopstellingen of ooit ingerichte VPN-servers blijven vaak langer aan staan dan je denkt. Dat zijn precies de plekken waar dit soort kwetsbaarheden kan blijven hangen.
Wat de hotpatch KB5084597 precies doet
De hotpatch die Microsoft heeft uitgebracht, heeft het nummer KB5084597. Die patch dicht de drie genoemde kwetsbaarheden in RRAS op systemen die hotpatching ondersteunen. In plaats van een volledige herstart worden de kwetsbare delen van de code in het geheugen vervangen terwijl het systeem blijft draaien.
Dezelfde oplossingen zaten al in de Patch Tuesday-update van 10 maart. Die route is de standaard: je installeert de update en plant een herstart in. De hotpatch is vooral bedoeld voor omgevingen waar je die reboot liever uitstelt, bijvoorbeeld omdat er productie draait of veel gebruikers op ingelogd zijn.
Belangrijk om te weten: de hotpatch is geen extra beveiligingslaag bovenop de reguliere update. Het is een andere manier om dezelfde kwetsbaarheden te dichten. Je kiest dus vooral de vorm die past bij jouw manier van beheer en de eisen rond beschikbaarheid.
Gebruik je geen hotpatching, maar wel de normale beveiligingsupdates, dan ben je in principe net zo goed beschermd zodra de maart-update is geïnstalleerd en het systeem opnieuw is opgestart. De kern is dat je een van de twee paden volgt en niet blijft hangen op een oude stand.
Hoe hotpatching in Windows 11 werkt
Hotpatching is een functie in Windows 11 die beschikbaar is in de Enterprise- en Education-edities. Het idee is simpel: beveiligingsupdates worden toegepast zonder dat je het systeem direct hoeft te herstarten. De aanpassingen worden in het werkgeheugen geladen terwijl het systeem gewoon doorloopt.
Dat is handig voor servers, virtuele machines en drukbezette werkstations die je niet zomaar kunt onderbreken. Denk aan systemen die productieprocessen aansturen, terminalservers met veel ingelogde gebruikers of machines waarop 24/7 diensten draaien. Minder herstarts betekent minder geplande downtime en minder gedoe om onderhoud in de nacht te plannen.
Het is niet zo dat je met hotpatching nooit meer hoeft te herstarten. Microsoft bundelt nog steeds updates in maart, juni, september en december die wel een reboot vereisen. Hotpatching is vooral bedoeld om tussentijdse beveiligingslekken sneller te kunnen dichten, zonder te wachten op het volgende onderhoudsvenster.
In de praktijk werkt het zo dat je basisimage af en toe volledig wordt bijgewerkt met een herstart. Tussendoor plak je de gaten met hotpatches die in het geheugen worden geladen. Zo combineer je veiligheid met beschikbaarheid, zolang je het wel strak inplant en documenteert.
Wat je nu het beste kunt doen als beheerder
Als je Windows 11 Enterprise of Education inzet in een zakelijke omgeving, is dit een goed moment om gericht naar deze update te kijken. Begin met in kaart brengen waar RRAS draait en waarvoor je het gebruikt. Dat kunnen servers zijn, maar ook beheerwerkplekken of speciale managementtools.
Geef die systemen nu prioriteit in je updateplanning. Controleer of de maart-update al is uitgerold en of de benodigde herstart heeft plaatsgevonden. Maak je gebruik van hotpatching, plan dan KB5084597 in op de systemen die daarvoor in aanmerking komen.
Een simpel stappenplan om dit op te pakken:
- Stap 1: Inventariseer welke systemen RRAS of aanverwante rollen draaien.
- Stap 2: Controleer in je updatebeheer of de maart-update en/of KB5084597 al zijn aangeboden.
- Stap 3: Plan updates en eventuele herstarts in, afgestemd op gebruik en beschikbaarheid.
- Stap 4: Monitor na de update of VPN- en beheerverbindingen nog stabiel werken.
- Stap 5: Documenteer welke systemen zijn bijgewerkt en wanneer.
In kritieke omgevingen is het slim om eerst een test te doen op een niet-productieserver of een minder belangrijk systeem. Zo zie je snel of er onverwachte bijwerkingen zijn. Pas daarna rol je de update uit naar de rest van je omgeving.
Praktische tips om dit soort risico’s te beperken
Los van dit specifieke lek kun je een paar dingen doen om de impact van dit soort kwetsbaarheden te beperken. Ten eerste: beperk de rechten van accounts die je voor beheer op afstand gebruikt. Hoe minder rechten een dienst of beheerder standaard heeft, hoe kleiner de schade als er iets misgaat.
Zorg ook dat je goed zicht hebt op welke servers als RRAS- of VPN-server fungeren en wie daar toegang toe heeft. Oude of ongebruikte configuraties kun je beter uitzetten of verwijderen. Hoe minder aanvalsoppervlak, hoe beter.
Een handige checklist om je beheeromgeving op te schonen:
- Controleer welke RRAS- en VPN-servers nog actief worden gebruikt.
- Verwijder oude test- en pilotconfiguraties die niet meer nodig zijn.
- Beperk toegang tot beheerinterfaces tot bekende beheerders en vaste locaties.
- Zorg dat logging aanstaat en dat je die logs ook echt bekijkt.
- Gebruik aparte beheeraccounts met zo min mogelijk standaardrechten.
Automatiseer updates waar het kan, maar houd grip op je kritieke systemen. Voor gewone werkplekken is automatisch updaten via Windows Update vaak prima. Voor servers en beheerwerkplekken is een combinatie van gepland onderhoud, hotpatching en goede monitoring een stuk veiliger.
Hoe je hotpatching slim in je beheerproces past
Als je nog niet met hotpatching werkt maar wel Windows 11 Enterprise inzet, is dit een goed moment om te kijken of het bij je past. Hotpatching kan je helpen om sneller te reageren op kwetsbaarheden zonder steeds nachtelijke onderhoudsvensters te plannen. Dat scheelt tijd voor jou en minder verstoring voor gebruikers.
Begin klein: kies een paar niet-kritieke servers of beheerwerkplekken als proef. Kijk hoe hotpatches zich gedragen, hoe ze in je bestaande updatebeheer passen en of je monitoring nog goed werkt. Op basis daarvan kun je besluiten of je het breder wilt inzetten.
Belangrijk is dat je duidelijke afspraken maakt over wanneer je alsnog een volledige reboot plant. Zie hotpatching als een manier om tijd te winnen, niet als een excuus om herstarts eindeloos uit te stellen. Plan bijvoorbeeld vaste momenten per kwartaal waarop je alles weer in lijn brengt met de volledige cumulatieve updates.
Leg ook vast wie verantwoordelijk is voor het beoordelen van nieuwe hotpatches. Iemand moet de beveiligingsmeldingen volgen, inschatten wat urgent is en beslissen wanneer je een patch direct doorvoert. Hoe duidelijker dat is geregeld, hoe minder je achteraf hoeft te blussen.
Waarom serveridentiteit en netwerksegmentatie hier zoveel uitmaken
Bij dit soort lekken draait veel om vertrouwen in de server waar je mee praat. Als jouw systeem niet goed kan controleren of een server echt is wie hij zegt dat hij is, wordt het een stuk makkelijker om verkeer om te leiden. Zeker in grotere netwerken zie je dat er intern veel wordt vertrouwd op naam en locatie, terwijl dat niet altijd terecht is.
Je kunt dit risico verkleinen door sterker in te zetten op versleuteling en strikte authenticatie tussen clients en servers. Denk aan certificaten die je actief beheert en regelmatig vervangt. Ook simpele dingen als het opruimen van oude DNS-records en het beperken van wie nieuwe servers mag registreren, helpen al.
Netwerksegmentatie speelt hier ook een rol. Als een aanvaller via een misbruikte RRAS-verbinding binnenkomt, wil je niet dat hij direct overal bij kan. Door beheeromgevingen, productie en kantoorwerkplekken logisch te scheiden, maak je het een stuk lastiger om door te schuiven naar de rest van het netwerk.
Dit vraagt misschien wat werk, maar je hoeft niet alles in één keer om te gooien. Begin met de meest gevoelige systemen en de beheeromgeving. Als je die beter afschermt, heb je al veel gewonnen, ook bij dit soort gerichte kwetsbaarheden.