La mise à jour de Microsoft pour corriger la vulnérabilité de WSUS perturbe le hotpatching sur Windows Server 2025

Microsoft a publié une mise à jour urgente pour colmater une faille critique dans WSUS, essentielle à la gestion des patchs sur Windows Server. Toutefois, cette correction, loin d’être sans conséquence, a cassé le système de hotpatching sur certains serveurs Windows Server 2025. Résultat : la fameuse approche zéro redémarrage fait une pause forcée.

Une faille critique dans WSUS bouscule le hotpatching sur Windows Server 2025

Le 24 octobre 2025, Microsoft a confirmé que la mise à jour destinée à boucher la faille CVE-2025-59287 provoquait un couac sérieux sur Windows Server 2025. WSUS, le pilier des mises à jour d’entreprise, souffre d’une vulnérabilité qui permet l’exécution de code à distance. Une menace qui ne pouvait pas être prise à la légère.

Cependant, le correctif déployé a malencontreusement désactivé la fonctionnalité de hotpatching — cette nouveauté qui met à jour les serveurs sans redémarrage. Une vraie révolution pour réduire les temps d’arrêt dans les environnements hyper-virtualisés.

Comment le hotpatching a sauté après le patch de sécurité

Concrètement, une partie des serveurs physiques et machines virtuelles inscrits au hotpatching ont reçu la mise à jour erronée avant que Microsoft ne bloque sa diffusion. Sur ces systèmes, l’inscription au hotpatch a été purement supprimée. Plus aucun patch sans reboot pour ces machines !

Microsoft a depuis limité la mise à jour aux serveurs non-inscrits, laissant les admins naviguer à vue. Cette panne prouve que la gestion des patchs sans interruption reste fragile, surtout quand WSUS joue le chef d’orchestre dans des environnements hybrides complexes.

Le dilemme entre sécurité renforcée et disponibilité

La faille CVE-2025-59287 ne rigole pas avec un score CVSS de 9,8 sur 10. Pour les secteurs bancaires, de la santé ou toute entreprise exigeant une disponibilité maximale, repousser la correction n’est pas une option. Pourtant, les admins doivent composer avec les inconvénients d’un patch standard qui impose un redémarrage.

Cette impasse souligne la difficulté de Microsoft à garder un équilibre entre rapidité des correctifs et stabilité du service. Le hotpatching devrait limiter la casse, mais ici, c’est le contraire qui s’est produit.

Solutions temporaires pour les serveurs impactés par la mise à jour

Pour les machines déjà patchées et déclassées, Microsoft recommande patience et vigilance. Ces serveurs devront se contenter des mises à jour mensuelles habituelles qui nécessitent un redémarrage jusqu’à la remise à niveau prévue en janvier 2026. Le hotpatching repartira enfin en février 2026 avec le correctif KB5066835.

Et pour ceux qui ont téléchargé le patch mais pas encore installé ? Mieux vaut stopper la mise à jour, redémarrer la recherche, et installer la version corrigée. Ainsi, la compatibilité au hotpatch se maintient.

Le correctif futur pour une reprise du hotpatching sur WSUS

À partir du 24 octobre, les serveurs restés en hotpatch recevront la correction KB5070893 en superposition au patch mensuel de base KB5066835. Cette approche double garantit la sécurité sans sacrifier les mises à jour sans interruption.

À noter que seuls les serveurs WSUS devront redémarrer après ce patch, minimisant ainsi la gêne pour l’ensemble des infrastructures IT.

Pour tous ceux qui gèrent un parc Windows Server, cette mésaventure est un rappel brutal : malgré toutes les promesses de simplicité et de modernité, l’IT reste un métier sérieux, avec ses risques et ses galères.

Source: cybersecuritynews.com