Η Microsoft ανακοίνωσε ένα σχέδιο δύο φάσεων για την απενεργοποίηση της δυνατότητας ανάπτυξης hands-free στις Υπηρεσίες Ανάπτυξης των Windows (WDS) μετά την ανακάλυψη μιας ευπάθειας κρίσιμης απομακρυσμένης εκτέλεσης κώδικα (RCE) που παρακολουθείται ως CVE-2026-0386.
Το ελάττωμα, που έχει τις ρίζες του στον ακατάλληλο έλεγχο πρόσβασης, επιτρέπει σε έναν εισβολέα χωρίς έλεγχο ταυτότητας σε ένα γειτονικό δίκτυο να υποκλέψει ευαίσθητα αρχεία διαμόρφωσης και να εκτελεί αυθαίρετο κώδικα κατά τη διάρκεια αναπτύξεων λειτουργικού συστήματος που βασίζεται σε δίκτυο.
Οι Υπηρεσίες ανάπτυξης των Windows είναι ένας ρόλος διακομιστή που επιτρέπει στους διαχειριστές IT να αναπτύσσουν λειτουργικά συστήματα Windows εξ αποστάσεως μέσω δικτύου, συνήθως χρησιμοποιώντας την εκκίνηση PXE (Περιβάλλον εκτέλεσης προεκκίνησης).
Ένα βασικό χαρακτηριστικό αυτής της υπηρεσίας, η ανάπτυξη hands-free, βασίζεται σε ένα αρχείο απαντήσεων Unattend.xml για την αυτοματοποίηση των οθονών εγκατάστασης, συμπεριλαμβανομένης της καταχώρισης διαπιστευτηρίων, χωρίς να απαιτείται χειροκίνητη παρέμβαση του χειριστή. Αυτή η δυνατότητα χρησιμοποιείται ευρέως σε εταιρικά περιβάλλοντα για την αποτελεσματική παροχή μεγάλων στόλων μηχανημάτων.
Ευπάθεια στις Υπηρεσίες Ανάπτυξης των Windows
Το CVE-2026-0386, που δημοσιεύτηκε στις 13 Ιανουαρίου 2026, περιγράφει μια ακατάλληλη συνθήκη ελέγχου πρόσβασης (CWE-284) στο WDS που προέρχεται από τη μετάδοση του αρχείου Unattend.xml μέσω ενός καναλιού RPC χωρίς έλεγχο ταυτότητας.
Επειδή το αρχείο απαντήσεων εκτίθεται μέσω του κοινόχρηστου στοιχείου RemoteInstall χωρίς έλεγχο ταυτότητας, ένας εισβολέας που βρίσκεται στο ίδιο τμήμα δικτύου μπορεί να υποκλέψει το αρχείο, να κλέψει ενσωματωμένα διαπιστευτήρια ή να εισαγάγει κακόβουλο κώδικα που εκτελείται κατά τη διαδικασία ανάπτυξης.
Οι ερευνητές ασφαλείας έχουν σημειώσει ότι μια επιτυχημένη εκμετάλλευση θα μπορούσε να εκχωρήσει προνόμια σε επίπεδο ΣΥΣΤΗΜΑΤΟΣ, να επιτρέψει την πλευρική κίνηση σε έναν τομέα και ακόμη και να επιτρέψει στους εισβολείς να δηλητηριάσουν τις εικόνες ανάπτυξης του λειτουργικού συστήματος, γεγονός που αποτελεί κίνδυνο σε επίπεδο αλυσίδας εφοδιασμού στα κέντρα δεδομένων επιχειρήσεων.
Η Microsoft επιβεβαίωσε ότι η ευπάθεια φέρει ένα διάνυσμα CVSS v3.1 AV:A/AC:H/PR:N/UI:N με βαθμολογίες υψηλών επιπτώσεων σε Εμπιστευτικότητα, Ακεραιότητα και Διαθεσιμότητα.
Το ελάττωμα επηρεάζει τις εκδόσεις του Windows Server που κυμαίνονται από τον διακομιστή 2008 έως τον διακομιστή 2025, συμπεριλαμβανομένων των Windows Server 2016, 2019, 2022 και έκδοσης 23H2.
Χρονοδιάγραμμα σκλήρυνσης δύο φάσεων
Η Microsoft αναπτύσσει μέτρα μετριασμού σε δύο στάδια:
- Φάση 1 — 13 Ιανουαρίου 2026: Η ανάπτυξη hands-free παραμένει λειτουργική, αλλά μπορεί να απενεργοποιηθεί ρητά. Εισάγονται νέες ειδοποιήσεις αρχείου καταγραφής συμβάντων και στοιχεία ελέγχου κλειδιών μητρώου, επιτρέποντας στους διαχειριστές να επιβάλλουν ασφαλή συμπεριφορά με τη ρύθμιση
AllowHandsFreeFunctionality = 0υπόHKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend. - Φάση 2 — Απρίλιος 2026: Η ανάπτυξη hands-free θα απενεργοποιηθεί πλήρως από προεπιλογή. Οι διαχειριστές που δεν έχουν εφαρμόσει καμία διαμόρφωση μητρώου από τον Ιανουάριο έως τον Απρίλιο του 2026 θα βρουν τη δυνατότητα να αποκλείεται αυτόματα μετά την ενημέρωση ασφαλείας του Απριλίου.
Οι διαχειριστές που απαιτούν οπωσδήποτε τη δυνατότητα μπορούν να την ενεργοποιήσουν ξανά προσωρινά με ρύθμιση AllowHandsFreeFunctionality = 1αλλά η Microsoft προειδοποιεί ρητά ότι αυτή δεν είναι μια ασφαλής διαμόρφωση και θα πρέπει να αντιμετωπίζεται μόνο ως βραχυπρόθεσμη γέφυρα.
- Ελέγξτε αμέσως όλες τις διαμορφώσεις WDS για χρήση του Unattend.xml.
- Εφαρμόστε την ενημέρωση ασφαλείας των Windows στις 13 Ιανουαρίου 2026 ή μεταγενέστερη.
- Σειρά
AllowHandsFreeFunctionality = 0να επιβάλει ασφαλή συμπεριφορά πριν από τον Απρίλιο του 2026. - Παρακολουθήστε το πρόγραμμα προβολής συμβάντων για προειδοποιήσεις σχετικά με μη ασφαλή πρόσβαση unattend.xml.
- Μετεγκατάσταση σε εναλλακτικές μεθόδους ανάπτυξης, όπως το Microsoft Intune, το Windows Autopilot ή το Microsoft Configuration Manager, το οποίο δεν επηρεάζεται από αυτήν την ευπάθεια.
Το άρθρο 5074952 KB της Microsoft παρέχει πλήρεις οδηγίες και λεπτομέρειες μητρώου για οργανισμούς που επηρεάζονται. Οι διαχειριστές καλούνται να ενεργήσουν πριν από τον Απρίλιο του 2026 για να αποφευχθεί η διακοπή των αγωγών ανάπτυξής τους.
