Microsoft wypuszcza aktualizację poza cyklem, która naprawia pętlę instalacji Hotpatch w Windows 11 - Security Bez Tabu

Microsoft wypuszcza aktualizację poza cyklem, która naprawia pętlę instalacji Hotpatch w Windows 11

Wprowadzenie do problemu / definicja luki

Microsoft potwierdził błąd powodujący, że listopadowa aktualizacja Hotpatch KB5068966 dla Windows 11 (25H2) była ponownie oferowana po instalacji, co skutkowało pętlą niekończących się instalacji na część systemów. Aby wyeliminować problem, producent udostępnił aktualizację poza standardowym cyklem (out-of-band): KB5072753. Aktualizacja kumulacyjna OOB zawiera wcześniejsze poprawki oraz dodatkową zmianę usuwającą pętlę reoferty.

W skrócie

  • Co się stało? Hotpatch z 11 listopada 2025 r. (KB5068966) po instalacji był ponownie proponowany przez Windows Update na niektórych urządzeniach z Windows 11 25H2, tworząc pętlę instalacji.
  • Co to naprawia? Aktualizacja KB5072753 (wydana 20 listopada 2025 r.) usuwa błąd i konsoliduje wcześniejsze poprawki bezpieczeństwa i jakości.
  • Kogo dotyczy? Przede wszystkim środowiska korzystające z Hotpatch na Windows 11 (25H2) — funkcji oficjalnie wspieranej na edycjach Enterprise/Education i zarządzanej m.in. przez Windows Autopatch.
  • Co zrobić? Zainstalować KB5072753 na dotkniętych urządzeniach; w razie problemów skorzystać z procedur diagnostycznych Hotpatch (odinstalowanie hotpatcha i instalacja najnowszej standardowej LCU).

Kontekst / historia / powiązania

Hotpatch zdejmuje wymóg każdorazowego restartu po aktualizacji, skracając okna serwisowe. Do niedawna rozwiązanie było kojarzone z Windows Server i Azure Automanage, ale od wersji 24H2/25H2 pojawiło się także na kliencie Windows 11 (Enterprise). W praktyce zmniejsza to przestoje i upraszcza okna utrzymaniowe w firmach.

W ostatnich tygodniach widzieliśmy też incydenty wokół hotpatchowania na serwerach (np. wpływ poprawek WSUS). Choć bieżący problem dotyczy klienta (Windows 11), administratorzy powinni patrzeć na hotpatch całościowo — zarówno po stronie endpointów, jak i serwerów.

Analiza techniczna / szczegóły luki

  • Objaw: po skutecznej instalacji KB5068966 Windows Update ponownie oferował ten sam pakiet, co powodowało cykliczne próby instalacji i niejednoznaczny stan zgodności w narzędziach zarządzania. Microsoft zaktualizował poradnik KB, potwierdzając re-offer błąd.
  • Naprawa:KB5072753 to kumulacyjny hotpatch „out-of-band” dla Windows 11 25H2, który:
    • zawiera poprzednie poprawki bezpieczeństwa i jakości,
    • dodaje dodatkową poprawkę usuwającą pętlę ponownej oferty,
    • jest połączony z najnowszym SSU (servicing stack), więc nie wymaga specjalnej kolejności wdrożenia.
  • Wymagania/zakres: Hotpatch na kliencie wspierany jest oficjalnie na Windows 11 Enterprise / Education w określonych warunkach (m.in. VBS włączone; specyficzne wymagania dla ARM64/CHPE).

Praktyczne konsekwencje / ryzyko

  • Operacyjne zamieszanie: narzędzia zgodności (Intune/ConfigMgr/WSUS/raporty) mogły wskazywać brak pełnej zgodności mimo faktycznej instalacji hotpatcha.
  • Ryzyko „patch fatigue”: częste reoferty zwiększają liczbę cykli skanowania i potencjalnie obciążają łącza/WU.
  • Okna serwisowe: choć Hotpatch minimalizuje restarty, problem mógł wywołać dodatkowe przebiegi instalacyjne w godzinach produkcyjnych.
  • Wrażenie niestabilności: po wcześniejszych incydentach wokół aktualizacji, część organizacji może ostrożniej traktować szybkie zatwierdzanie hotpatchy. (Wnioski na podstawie dokumentacji MS i wcześniejszych raportów o hotpatch/WSUS).

Rekomendacje operacyjne / co zrobić teraz

  1. Priorytetowo wdrożyć KB5072753 w pierścieniach pilotażowych, a następnie w całej organizacji (Windows 11 25H2 z Hotpatch). Zweryfikować zainstalowaną wersję Hotpatch/OS Build (26200.7093).
  2. Odświeżyć zgodność: wymusić skanowanie Windows Update i ponowną ocenę zgodności w Intune/ConfigMgr po instalacji OOB.
  3. Procedury awaryjne Hotpatch: w razie nietypowych symptomów skorzystać z oficjalnej ścieżki: odinstalować hotpatch i zainstalować najnowszą standardową LCU (z restartem), zgodnie z poradnikiem Microsoft.
  4. Komunikacja z użytkownikami: poinformować, że instalacja OOB jest bezpieczna, a restarty nie powinny być wymagane (o ile nie przechodzimy na LCU).
  5. Monitorować release notes Hotpatch i stronę KB5068966 pod kątem kolejnych aktualizacji statusu.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Ten incydent (Windows 11, klient): błąd dotyczył re-offer/loop po stronie Windows Update i został naprawiony KB5072753 (OOB).
  • Niedawne incydenty serwerowe (WSUS/Hotpatch): miały inny charakter (dystrybucja poprawek i wpływ na hotpatching w Windows Server 2025). Dla zespołów, które zarządzają i klientem, i serwerem, to istotne rozróżnienie.

Podsumowanie / kluczowe wnioski

  • Pętla instalacji Hotpatch dla KB5068966 została usunięta przez KB5072753.
  • Organizacje powinny niezwłocznie wdrożyć OOB w swoich pierścieniach, aby ustabilizować raportowanie zgodności i łańcuch aktualizacji.
  • Utrzymujcie polityki Hotpatch i monitoring release notes — funkcja dojrzewa również na kliencie, a szybkie OOB-y mogą się pojawiać.

Źródła / bibliografia

  1. BleepingComputer — ogłoszenie o OOB i kontekście błędu re-offer (Sergiu Gatlan). (BleepingComputer)
  2. Microsoft Support — KB5072753: „November 20, 2025—Hotpatch (Out-of-band)”. (Microsoft Support)
  3. Microsoft Support — KB5068966: „November 11, 2025—Hotpatch”. (Microsoft Support)
  4. Microsoft — Release notes for Hotpatch on Windows 11 Enterprise (24H2/25H2). (Microsoft Support)
  5. Microsoft — Hotpatch updates: przewodnik dot. wycofywania i rozwiązywania problemów (diagnoza/rollback). (Microsoft Learn)