Le correctif pour la faille WSUS a désactivé le Hotpatching sur Windows Server 2025
Il y a quelques jours, Microsoft a publié une mise à jour hors bande pour corriger une faille de sécurité critique dans WSUS. Le problème, c’est qu’elle a désactivé la fonctionnalité de Hotpatch sur certains serveurs Windows Server 2025. Voici ce que l’on sait.
Pour rappel, le 23 octobre 2025, Microsoft a publié une mise à jour hors cycle (out-of-band) pour corriger une faille de sécurité critique dans le service WSUS. Comme nous l’avions mentionné dans un précédent article, cette vulnérabilité est déjà exploitée par les cybercriminels. D’ailleurs, The Shadowserver a, de son côté, recensé plus de 2 600 instances WSUS accessibles sur Internet via les ports par défaut (8530/8531), sans préciser combien avaient été patchées.
Un correctif qui casse le Hotpatch sur Windows Server 2025
Si elle corrige bien la CVE-2025-59287, cette mise à jour a toutefois eu un effet de bord : elle a désactivé le mécanisme de hotpatching sur certains serveurs Windows Server 2025. En toute logique, uniquement sur les serveurs WSUS puisque ce correctif leur est destiné. Le hotpatching est une nouveauté de cette version de Windows Server permettant l’installation des mises à jour sans redémarrage (seulement un redémarrage par trimestre, en réalité).
Dans la documentation liée à KB5070881, Microsoft a reconnu ce problème : “Un nombre très limité d’ordinateurs inscrits à Hotpatch ont reçu la mise à jour avant que le problème ne soit corrigé. La mise à jour n’est désormais proposée qu’aux ordinateurs qui ne sont pas inscrits pour recevoir les mises à jour Hotpatch.“, peut-on lire.
Concrètement, les serveurs Windows Server 2025 inscrits au programme Hotpatch et qui ont reçu cette mise à jour ne sont plus inscrits auprès du service Hotpatch ! Donc, les machines affectées ne recevront pas de mises à jour Hotpatch en novembre et décembre 2025 : elles devront se contenter des mises à jour mensuelles classiques, nécessitant un redémarrage, avant de réintégrer le “train Hotpatch” à partir de la baseline de janvier 2026. Il sera essentiel de surveiller leur état dans les prochains mois.
Un correctif spécifique pour les serveurs Hotpatch
Suite à la constatation de ce bug, Microsoft a suspendu la diffusion de la KB5070881 sur les serveurs inscrits auprès du service Hotpatch. Dès le 24 octobre 2025, Microsoft a publié une nouvelle mise à jour hors bande à destination des serveurs avec le Hotpatch actif : KB5070893. Cette nouvelle mise à jour de sécurité pour les serveurs WSUS (KB5070893) corrige la même faille sans casser le Hotpatch.
Si vous utilisez le Hotpatch sur votre serveur WSUS, il est essentiel de ne pas installer la KB5070881 afin de prioriser l’installation de la KB5070893. “Les machines sur lesquelles KB5070893 est installé resteront « dans le train Hotpatch » et continueront à recevoir les mises à jour Hotpatch en novembre et décembre.“, précise Microsoft.