Корпорация Microsoft недавно выпустила исправление безопасности для критической сетевой уязвимости в виде обновления KB5084597, устанавливаемого в режиме “hotpatch”. Помимо этого, на этой неделе компания сообщила, что скоро перейдет ко второму этапу усиления безопасности служб развертывания Windows (WDS).
Для тех, кто не в курсе, в январе Microsoft объявила об ужесточении мер безопасности вокруг Windows Deployment Services (WDS) — давно используемого инструмента для сетевого развертывания операционных систем. Компания подтвердила, что рабочие процессы развертывания без участия пользователя, основанные на файлах Unattend.xml, выводятся из эксплуатации для защиты от уязвимости безопасности, отслеживаемой под идентификатором CVE-2026-0386. В описании уязвимости указано: «Неправильное управление доступом в службах развертывания Windows позволяет неавторизованному злоумышленнику выполнять код через смежную сеть».
Microsoft заявляет, что проблема связана с тем, как передается файл Unattend.xml, или файл ответов. Он используется для автоматизации экранов установки, включая учетные данные, и при отправке через неаутентифицированный канал удаленного вызова процедур (RPC) файл может раскрыть конфиденциальные данные. Злоумышленник в той же сети может перехватить его, что приведет к краже учетных данных или удаленному выполнению кода (RCE).
В статье поддержки, посвященной этой теме, Microsoft заявляет: «Для устранения этой уязвимости и повышения безопасности поддержка беззвучного развертывания через незащищенные каналы будет удалена по умолчанию».
Здесь компания уточнила, что уязвимость не затрагивает Microsoft Configuration Manager. В отличие от нативных сценариев WDS, Configuration Manager использует WDS только для предоставления файлов boot.wim и сетевых загрузочных файлов, которые не подвергаются воздействию через тот же механизм.
Кстати, в отдельной документации Microsoft подробно описала, что развертывания Windows, зависящие от boot.wim и Windows Setup, работающих в режиме WDS, больше не поддерживаются. Компания опубликовала таблицу для лучшего разъяснения изменений:
| Развертываемая версия Windows | Boot.wim из Windows 10 | Boot.wim из Windows Server 2016 | Boot.wim из Windows Server 2019 | Boot.wim из Windows Server 2022 | Boot.wim из Windows 11 |
|---|---|---|---|---|---|
| Win 11 | Не поддерживается, заблокировано. | Не поддерживается, заблокировано. | Не поддерживается, заблокировано. | Не поддерживается, заблокировано. | Не поддерживается, заблокировано. |
| Win 10 | Поддерживается, с использованием загрузочного образа из соответствующей или более новой версии. | Поддерживается, с использованием загрузочного образа из текущей поддерживаемой версии Windows 10. | Поддерживается, с использованием загрузочного образа из текущей поддерживаемой версии Windows 10. | Не поддерживается. | Не поддерживается. |
| Server 2025 | Не поддерживается. | Не поддерживается. | Не поддерживается. | Не поддерживается. | Не поддерживается. |
| Server 2022 | Устарело, с предупреждающим сообщением. | Устарело, с предупреждающим сообщением. | Устарело, с предупреждающим сообщением. | Устарело, с предупреждающим сообщением. | Не поддерживается. |
| Server 2019 | Поддерживается, с использованием загрузочного образа из текущей поддерживаемой версии Windows 10. | Поддерживается. | Поддерживается. | Не поддерживается. | Не поддерживается. |
| Server 2016 | Поддерживается, с использованием загрузочного образа из текущей поддерживаемой версии Windows 10. | Поддерживается. | Не поддерживается. | Не поддерживается. | Не поддерживается. |
В рамках первого этапа усиления безопасности WDS, начавшегося в январе, администраторам рекомендовали блокировать неаутентифицированный доступ к unattend.xml и отключать беззвучное развертывание в конфигурациях WDS через запись в реестре. На предстоящем втором этапе беззвучное развертывание будет полностью отключено, и система перейдет в состояние «безопасна по умолчанию».
В дальнейшем ожидается, что Microsoft продолжит поэтапный отказ от устаревших рабочих процессов WDS в пользу более безопасных методов. Компания добавила, что «если никаких действий предпринято не будет (ключ реестра не добавлен) в период с января по апрель 2026 года, беззвучное развертывание будет автоматически заблокировано после обновления безопасности за апрель 2026 года».
Источник: Microsoft (ссылка1, ссылка2)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sayan Sen
