Lỗ hổng CVE Windows Server RCE nghiêm trọng: Cập nhật khẩn
Microsoft đã công bố kế hoạch hai giai đoạn nhằm vô hiệu hóa tính năng triển khai tự động (hands-free deployment) trong Windows Deployment Services (WDS). Quyết định này được đưa ra sau khi phát hiện một lỗ hổng CVE nghiêm trọng có khả năng thực thi mã từ xa (Remote Code Execution – RCE), được định danh là CVE-2026-0386.
Lỗ hổng CVE-2026-0386 này xuất phát từ việc kiểm soát truy cập không đúng cách, cho phép kẻ tấn công chưa xác thực trên cùng phân đoạn mạng cục bộ có thể chặn các tệp cấu hình nhạy cảm và thực thi mã tùy ý trong quá trình triển khai hệ điều hành dựa trên mạng.
Tổng quan về Windows Deployment Services (WDS)
Windows Deployment Services là một vai trò máy chủ cho phép các quản trị viên IT triển khai hệ điều hành Windows từ xa qua mạng, thường sử dụng tính năng khởi động PXE (Preboot Execution Environment).
Một tính năng cốt lõi của dịch vụ này là triển khai tự động (hands-free deployment). Tính năng này dựa vào tệp trả lời Unattend.xml để tự động hóa các màn hình cài đặt, bao gồm nhập thông tin xác thực, mà không yêu cầu can thiệp thủ công từ người vận hành.
Tính năng này được sử dụng rộng rãi trong các môi trường doanh nghiệp để cung cấp hiệu quả số lượng lớn máy móc. Tuy nhiên, chính cơ chế này lại tạo ra rủi ro bảo mật nghiêm trọng với lỗ hổng CVE mới được phát hiện.
Phân tích chi tiết lỗ hổng CVE-2026-0386
Bản chất của lỗ hổng
CVE-2026-0386, được công bố vào ngày 13 tháng 1 năm 2026, mô tả một điều kiện kiểm soát truy cập không đúng cách (CWE-284) trong WDS.
Nguyên nhân gốc rễ là tệp Unattend.xml được truyền qua một kênh RPC (Remote Procedure Call) không được xác thực.
Do tệp trả lời này bị lộ qua chia sẻ RemoteInstall mà không có xác thực, kẻ tấn công nằm trên cùng phân đoạn mạng có thể chặn tệp, đánh cắp thông tin xác thực nhúng hoặc tiêm mã độc hại sẽ được thực thi trong quá trình triển khai.
Cơ chế khai thác và Tác động của lỗ hổng CVE
Các nhà nghiên cứu bảo mật đã ghi nhận rằng việc khai thác thành công lỗ hổng CVE-2026-0386 có thể cấp quyền SYSTEM-level. Điều này cho phép kẻ tấn công di chuyển ngang (lateral movement) qua một tên miền và thậm chí tiêm nhiễm các hình ảnh triển khai hệ điều hành.
Khả năng tiêm nhiễm vào hình ảnh OS biến đây thành một rủi ro bảo mật ở cấp độ chuỗi cung ứng trong các trung tâm dữ liệu doanh nghiệp.
Microsoft đã xác nhận lỗ hổng CVE này mang chỉ số CVSS v3.1 là AV:A/AC:H/PR:N/UI:N, với mức độ ảnh hưởng Cao (High) trên các khía cạnh Confidentiality (Bảo mật), Integrity (Toàn vẹn) và Availability (Sẵn sàng).
Các phiên bản Windows Server bị ảnh hưởng
Lỗ hổng CVE-2026-0386 ảnh hưởng đến các phiên bản Windows Server từ Server 2008 đến Server 2025. Các phiên bản cụ thể bao gồm:
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows Server phiên bản 23H2
Chiến lược giảm thiểu và cập nhật bản vá từ Microsoft
Để đối phó với lỗ hổng CVE-2026-0386 này, Microsoft đang triển khai các biện pháp giảm thiểu theo hai giai đoạn:
Giai đoạn 1: Vô hiệu hóa chức năng triển khai tự động mặc định (Tháng 2 năm 2026)
Kể từ tháng 2 năm 2026, chức năng triển khai tự động sẽ bị vô hiệu hóa theo mặc định thông qua một bản cập nhật được phát hành ngoài chu kỳ hàng tháng. Điều này sẽ ngăn chặn các cuộc tấn công khai thác lỗ hổng CVE này.
Các quản trị viên vẫn có thể tạm thời kích hoạt lại tính năng này bằng cách đặt giá trị registry AllowHandsFreeFunctionality thành 1. Tuy nhiên, Microsoft đặc biệt cảnh báo đây không phải là một cấu hình an toàn và chỉ nên được coi là một giải pháp tạm thời ngắn hạn.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Parameters]"AllowHandsFreeFunctionality"=dword:00000001Việc kích hoạt lại tính năng này sẽ tiếp tục duy trì rủi ro bảo mật tiềm ẩn.
Giai đoạn 2: Vô hiệu hóa vĩnh viễn (Tháng 4 năm 2026)
Đến tháng 4 năm 2026, Microsoft sẽ phát hành một cập nhật bản vá tiếp theo để loại bỏ hoàn toàn khả năng kích hoạt lại tính năng triển khai tự động bằng cách ghi đè mọi giá trị registry đã được thiết lập. Điều này nhằm đảm bảo rằng lỗ hổng CVE-2026-0386 không thể bị khai thác trong tương lai.
Để biết thêm chi tiết và hướng dẫn cấu hình đầy đủ, quản trị viên có thể tham khảo bài viết KB 5074952 của Microsoft tại trang hỗ trợ chính thức. Các tổ chức cần hành động trước tháng 4 năm 2026 để tránh gián đoạn các quy trình triển khai hệ điều hành của mình. Việc áp dụng các cập nhật bản vá kịp thời là rất quan trọng để giảm thiểu rủi ro bảo mật do lỗ hổng CVE này gây ra.
