Microsoft blocca l'installazione automatica di Windows 11 e Server 2025: cosa devi sapere sulla vulnerabilità critica

Microsoft blocca l’installazione automatica di Windows 11 e Server 2025: cosa devi sapere sulla vulnerabilità critica

Microsoft blocca l’installazione automatica di Windows 11 e Server 2025: cosa devi sapere sulla vulnerabilità critica

Introduzione rapida per gli utenti comuni

Se gestisci un’azienda con molti computer, probabilmente utilizzi uno strumento Microsoft per installarli automaticamente in rete. Microsoft ha scoperto un grave problema di sicurezza in questo strumento che potrebbe permettere a un hacker di prendere il controllo dei tuoi computer durante l’installazione.

La soluzione rapida: Se usi Windows Server 2025 o versioni precedenti con la funzione di distribuzione automatica, devi disabilitarla entro aprile 2026 oppure passare a metodi di installazione più moderni come Microsoft Intune o Windows Autopilot. Microsoft sta introducendo questa disabilitazione in due fasi, quindi hai tempo per pianificare il cambiamento.

Cosa sta succedendo: la vulnerabilità spiegata semplicemente

Windows Deployment Services (WDS) è uno strumento che consente agli amministratori IT di installare Windows su molti computer contemporaneamente attraverso la rete. Una delle sue funzioni più comode è la “distribuzione automatica” (hands-free deployment), che completa l’installazione senza richiedere l’intervento umano.

Purtroppo, questa comodità ha un prezzo: il file di configurazione utilizzato per l’installazione automatica viene trasmesso in rete senza protezione adeguata. Un file di configurazione contiene informazioni sensibili, incluse le credenziali di accesso necessarie per completare l’installazione.

Un attaccante posizionato sulla stessa rete aziendale potrebbe intercettare questo file, rubare le credenziali o inserire codice dannoso che si esegue durante l’installazione. Questo è il problema descritto dalla vulnerabilità CVE-2026-0386.

Quali sistemi sono interessati?

La vulnerabilità riguarda Windows Server in varie versioni:

  • Windows Server 2008 e successive
  • Windows Server 2016, 2019, 2022
  • Windows Server 2025
  • Windows 11 versione 23H2

Se stai utilizzando uno di questi sistemi con la funzione di distribuzione automatica abilitata, sei potenzialmente interessato.

Il piano di Microsoft in due fasi

Microsoft non sta disabilitando immediatamente questa funzione. Invece, sta procedendo gradualmente:

Fase 1 (gennaio 2026): La funzione rimane attiva, ma Microsoft ha aggiunto nuovi controlli. Gli amministratori possono disabilitarla manualmente modificando le impostazioni di registro di Windows. Nuovi avvisi nel registro eventi (Event Viewer) avvertono quando qualcuno tenta di usare la distribuzione automatica in modo non sicuro.

Fase 2 (aprile 2026): La funzione sarà disabilitata automaticamente per impostazione predefinita. Se non hai fatto nulla nel periodo tra gennaio e aprile, il tuo sistema smetterà di supportare la distribuzione automatica dopo l’aggiornamento di sicurezza di aprile.

Microsoft consente di riabilitare la funzione manualmente se assolutamente necessario, ma avverte che questa non è una configurazione sicura e dovrebbe essere utilizzata solo come soluzione temporanea.

Cosa devi fare adesso

  1. Verifica se utilizzi questa funzione: Controlla se stai usando Windows Deployment Services con la distribuzione automatica abilitata nella tua organizzazione.

  2. Applica gli aggiornamenti di sicurezza: Assicurati di avere installato l’aggiornamento di sicurezza di gennaio 2026 o successivo su tutti i tuoi server.

  3. Disabilita la funzione manualmente: Modifica il registro di Windows impostando “AllowHandsFreeFunctionality = 0” prima di aprile 2026. Questo è il percorso nel registro: HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend

  4. Monitora gli avvisi: Controlla regolarmente il registro eventi di Windows per avvisi relativi alla distribuzione automatica.

  5. Pianifica una migrazione: Inizia a valutare alternative più moderne come Microsoft Intune, Windows Autopilot o Microsoft Configuration Manager. Questi strumenti non sono interessati da questa vulnerabilità e offrono funzionalità più avanzate.

Perché è importante agire prima di aprile

Se non disabiliti manualmente la funzione o non migri a un’alternativa moderna prima di aprile 2026, i tuoi processi di distribuzione potrebbero interrompersi quando l’aggiornamento di sicurezza di aprile disabiliterà automaticamente la funzione. Questo potrebbe causare ritardi significativi se non sei preparato.

Alternative moderne per la distribuzione

Invece di continuare a utilizzare la distribuzione automatica tradizionale, Microsoft consiglia di passare a:

  • Microsoft Intune: Gestione moderna dei dispositivi basata su cloud
  • Windows Autopilot: Distribuzione semplificata di nuovi dispositivi Windows
  • Microsoft Configuration Manager: Soluzione enterprise per la gestione della configurazione

Questi strumenti offrono non solo maggiore sicurezza, ma anche più funzionalità e flessibilità rispetto al metodo tradizionale.

Technical Deep Dive

Per i professionisti IT e gli amministratori di sistema che desiderano comprendere i dettagli tecnici:

La vulnerabilità CVE-2026-0386 è classificata come un’impropria implementazione del controllo di accesso (CWE-284). Il problema risiede nel fatto che il file Unattend.xml viene trasmesso attraverso un canale RPC (Remote Procedure Call) non autenticato, esposto tramite la condivisione RemoteInstall senza autenticazione.

Il vettore di attacco CVSS v3.1 è AV:A/AC:H/PR:N/UI:N, il che significa:

  • AV:A (Attack Vector: Adjacent): L’attaccante deve trovarsi sulla stessa rete locale
  • AC:H (Attack Complexity: High): L’exploit richiede condizioni specifiche
  • PR:N (Privileges Required: None): Non sono necessari privilegi preesistenti
  • UI:N (User Interaction: None): Non è richiesta l’interazione dell’utente

Un exploit riuscito potrebbe concedere privilegi SYSTEM, abilitare il movimento laterale attraverso il dominio Active Directory e potenzialmente compromettere le immagini di distribuzione del sistema operativo, creando un rischio a livello di catena di approvvigionamento nei data center aziendali.

Gli amministratori possono monitorare i tentativi di sfruttamento controllando il log microsoft-Windows-Deployment-Services-Diagnostics/Debug nel Visualizzatore eventi. Gli eventi di avviso indicano quando una richiesta di file automatica è stata effettuata su una connessione non protetta e bloccata dal sistema.

Microsoft ha implementato la mitigazione attraverso la rimozione del supporto per la distribuzione automatica su canali non sicuri per impostazione predefinita nella Fase 2. Nel frattempo, gli amministratori possono applicare la mitigazione manuale impostando il valore di registro AllowHandsFreeFunctionality su 0, che forza l’utilizzo di canali sicuri per qualsiasi distribuzione.

Per le organizzazioni che richiedono ulteriori informazioni tecniche, Microsoft ha pubblicato documentazione dettagliata che include procedure di mitigazione passo dopo passo, dettagli del registro e linee guida per la migrazione verso soluzioni alternative come Intune e Configuration Manager.

Fonte: https://cybersecuritynews.com/windows-11-and-server-2025-automated-installation/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto