Вчера корпорация Microsoft выпустила последнее ежемесячное обновление для Windows 11 в рамках “Вторника патчей” под кодовым номером KB5074109. В списке изменений были подробно описаны многочисленные улучшения и исправления, а также краткое уведомление об усилении безопасности одного из компонентов Windows Server. Теперь же Microsoft поделилась более детальной информацией по этому вопросу, включая масштаб потенциального воздействия.
В специальной статье Базы знаний компания Microsoft разъяснила, что хотя Службы развертывания Windows (WDS) могут использовать функцию “развертывания без участия оператора” (hands-free deployment) для сетевой установки Windows на клиентских машинах, этот процесс задействует файл Unattend.xml, также известный как “файл ответов”, который может быть использован злоумышленниками. Этот XML-файл предназначен для автоматизации экранов установки и также содержит учетные данные.
Однако недавно обнаруженная уязвимость, обозначенная как CVE-2026-0386, продемонстрировала, как вредоносные акторы могут использовать файл ответов для получения возможности удаленного выполнения кода (RCE) и кражи учетных данных, если они перехватят файл во время его передачи по незащищенному каналу. В связи с этим Microsoft инициирует поэтапный процесс, который исключит возможность выполнения развертывания без участия оператора в WDS через незащищенные соединения.
Начиная с обновления “Вторника патчей”, выпущенного 13 января, эта функция все еще поддерживается, но постепенно выводится из эксплуатации. Таким образом, ИТ-администраторы могут настроить ключи реестра для полной деактивации развертывания без участия оператора через WDS и, при необходимости, перейти на альтернативные решения. После апреля 2026 года, предположительно после очередного “Вторника патчей”, это станет конфигурацией по умолчанию, но ИТ-администраторам по-прежнему будет разрешено изменять значение ключа AllowHandsFreeFunctionality для включения этой функции. Тем не менее, Microsoft предупреждает, что такая конфигурация будет небезопасной, и клиентам следует активно рассматривать альтернативы.
Microsoft также внедряет дополнительные журналы событий, чтобы ИТ-администраторы могли активно отслеживать конфигурации развертывания. Интересно, что, несмотря на наличие “активной” уязвимости, компания из Редмонда не отключает небезопасные конфигурации по умолчанию. Впрочем, это может произойти в неуказанный срок, поэтому убедитесь, что вы следуете инструкциям, приведенным здесь. Если вы не добавите ключ реестра до апреля 2026 года, развертывание без участия оператора будет автоматически заблокировано после выхода обновления безопасности за этот месяц.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Usama Jawad
