Ismét bebizonyosodott a régi informatikai bölcsesség: ami működik, azt ne javítsd meg – vagy legalábbis ne automatikusan. A Microsoft 2026. januári biztonsági javítócsomagja, amely elvileg a rendszerek védelmét hivatott szolgálni, kritikus hibát okozott a Windows 11 egyik legfontosabb vállalati funkciójában.
Az év első „Patch Tuesday” keddje (január 13.) nem indult zökkenőmentesen a rendszergazdák számára. Bár a Microsoft több mint száz biztonsági rést foltozott be, köztük kritikus sebezhetőségeket is, a csomaggal érkező egyik frissítés (KB5074109) súlyos mellékhatással járt. A felhasználók világszerte, így Magyarországon is tömegesen jelezték, hogy a frissítés telepítése után képtelenek távoli asztali kapcsolatot (Remote Desktop – RDP) létesíteni munkaállomásaikkal vagy a felhőalapú Cloud PC szolgáltatásokkal.
A hiba időzítése különösen kellemetlen, hiszen január közepén a legtöbb vállalatnál már teljes gőzzel zajlik a munka, és a hibrid munkavégzés korában a távoli elérés stabilitása nem kényelmi, hanem üzletmenet-folytonossági kérdés.
A probléma gyökere: mit rontott el a KB5074109?
A technikai elemzések és a Microsoft hivatalos visszajelzései alapján a hiba a Windows 11 24H2 és az újabb, 25H2 verzióit érinti legérzékenyebben. A problémát okozó csomag a KB5074109 azonosítójú biztonsági frissítés, amely a rendszer mélyebb rétegeiben eszközölt változtatásokat a hitelesítési protokollokban.
A hiba természete meglehetősen alattomos. Nem arról van szó, hogy a szolgáltatás teljesen leállna, hanem a hitelesítési folyamat akad el. A felhasználók a következő tüneteket tapasztalják:
- A csatlakozási kísérlet során a rendszer elfogadja a jelszót, de a folyamat megakad a „Welcome” (Üdvözöljük) képernyőnél, majd időtúllépés miatt megszakad.
- Bizonyos esetekben a hitelesítési ablak (credential prompt) újra és újra felugrik, hiába adják meg a helyes adatokat.
- Az Azure Virtual Desktop (AVD) és a Windows 365 Cloud PC szolgáltatások elérése teljesen lehetetlenné válik a hagyományos klienseken keresztül.
A BleepingComputer szaklap információi szerint a hiba a távoli asztali átjáró (RD Gateway) és a kliens közötti kommunikációban keresendő, ahol a frissítés után a rendszer nem képes megfelelően kezelni a titkosított csatornákat, különösen, ha UDP protokollt is használnak a gyorsabb adatátvitel érdekében.
Hatások a vállalati és otthoni felhasználókra
A hiba súlyossága attól függ, milyen környezetben használják a Windowst. Egy átlagos otthoni felhasználót, aki csak böngészésre és játékra használja a gépét, a probléma valószínűleg nem érint. Az üzleti szektorban azonban a hatás drasztikus.
A rendszergazdák rémálma vált valóra: egyik napról a másikra szerverek és munkaállomások százai váltak elérhetetlensé távolról. Ez különösen azokat a cégeket érinti érzékenyen, ahol a munkavállalók „Home Office”-ból dolgoznak, és RDP-n keresztül csatlakoznak be az irodai gépükre. Ilyenkor a dolgozó tehetetlen, az IT-support pedig nem tud távolról belépni, hogy elhárítsa a hibát – hiszen maga a távoli elérés a hibás.
Az alábbi táblázatban összefoglaltuk az érintett verziókat és a hiba státuszát:
| Windows Verzió | Frissítés kódja (KB) | Érintettség mértéke | Javítás státusza |
|---|---|---|---|
| Windows 11 24H2 | KB5074109 | Kritikus (teljes RDP blokk) | Feltárás alatt |
| Windows 11 25H2 | KB5074109 | Kritikus | Feltárás alatt |
| Windows 10 22H2 | Változó | Mérsékelt (elszigetelt esetek) | Megfigyelés alatt |
| Windows Server 2022/2025 | KB5074XXX | Magas (Gateway funkciók) | KIR (Rollback) elérhető |
Magyarországi vonatkozások és relevanciák
Magyarországon a KKV-szektor jelentős része támaszkodik a Microsoft megoldásaira. A hazai informatikai infrastruktúrákban még mindig domináns a Windows Server alapú környezet, és sok helyen a költséghatékonyság miatt a VPN+RDP kombinációt használják a távmunkához drágább VDI (Virtual Desktop Infrastructure) megoldások helyett.
A magyar HVG beszámolója szerint a hiba itthon is megjelent, bár pontos számokat nehéz mondani. Az biztos, hogy a hazai rendszergazdai fórumokon szerda reggel óta égnek a vonalak. A probléma nemcsak a kényelmet, hanem a biztonságot is veszélyezteti: ha a biztonságos RDP nem működik, a felhasználók hajlamosak kevésbé biztonságos alternatívákhoz (pl. ingyenes, felügyelet nélküli távelérő szoftverekhez) nyúlni, ami további kockázatot jelent a céges adatokra nézve.
Mit tehetünk? – Hivatalos és nem hivatalos megoldások
A Microsoft hivatalosan is elismerte a problémát, és a „Windows Release Health” felületén jelezte, hogy dolgoznak a javításon. Addig is azonban a cégeknek működniük kell. Jelenleg három fő irányvonal létezik a probléma kezelésére:
1. A Microsoft hivatalos kerülőútja (Workaround)
A redmondi cég azt javasolja, hogy aki teheti, váltson platformot a csatlakozáshoz. A hagyományos asztali kliens (MSTSC.exe) helyett a modern, Microsoft Store-ból letölthető „Windows App” használatát, vagy a böngészőből elérhető webes klienst (windows.cloud.microsoft) ajánlják. Ez azonban csak az Azure/Cloud PC felhasználóknak jelent megoldást, a hagyományos helyi szervereket elérni kívánóknak nem.
2. A KIR (Known Issue Rollback) technika
Nagyvállalati környezetben a Microsoft bevetette a KIR mechanizmust. Ez egy speciális csoportházirend-beállítás, amely lehetővé teszi, hogy a rendszergazdák „visszavonják” a frissítésnek csak azt a specifikus részét, amely a hibát okozza, anélkül, hogy a teljes biztonsági csomagot törölni kellene. Ez a legbiztonságosabb módszer, de komoly szakértelmet igényel a konfigurálása.
3. A frissítés eltávolítása (Végső megoldás)
Kisebb cégeknél vagy egyéni felhasználóknál a leggyorsabb (bár biztonsági szempontból kockázatos) megoldás a hibás frissítés teljes eltávolítása. Ezt a parancssorból a wusa /uninstall /kb:5074109 paranccsal, vagy a Gépház -> Windows Update -> Frissítési előzmények menüpontban lehet megtenni. Fontos megjegyezni, hogy ezzel a gép újra sebezhetővé válik a januárban javított 100+ biztonsági réssel szemben.
A „Windows mint szolgáltatás” árnyoldalai
Ez az eset ismét rávilágít a modern szoftverfejlesztés egyik legnagyobb kihívására. A Windows 11 rendkívül komplex rendszer, ahol a kódok milliói függnek egymástól. Egy apró, a biztonságot fokozni hivatott változtatás a hálózati rétegben dominóhatást indíthat el, ami látszólag független funkciókat bénít meg. A Microsoft tesztelési folyamatai, bár kiterjedtek (Windows Insider Program), nem képesek lefedni a világ összes hardver- és szoftverkonfigurációját.
A szakértők szerint a jövőben érdemes lehet a frissítéseket késleltetni. A Windows Pro és Enterprise verzióiban beállítható, hogy a minőségi frissítések (mint a mostani) ne azonnal, hanem 7-14 napos késleltetéssel települjenek. Ez az „ablak” általában elegendő arra, hogy a hasonló hibák kiderüljenek, és a Microsoft kiadja a javítást (out-of-band patch), mielőtt a frissítés elérné az éles rendszereket.
Kilátások
A Microsoft ígérete szerint a javítás egy soron kívüli frissítés formájában érkezik, várhatóan még a hónap vége előtt. Addig is a türelem és a fent említett alternatív megoldások alkalmazása javasolt. Az eset tanulsága pedig egyértelmű: kritikus infrastruktúrában az automatikus frissítés kényelme sosem előzheti meg a tesztelt stabilitás biztonságát.
