Microsoft a donné des instructions pour corriger une vulnérabilité détectée (CVE-2026-0386) dans le service Windows Deployment Services (WDS) pour les scénarios Hand-Free impliquant la transmission d’un fichier de réponse unattend.xml via un canal RPC non authentifié. Dans cette situation, un attaquant sur le même réseau peut intercepter le fichier et compromettre des identifiants ou exécuter du code malicieux. Pour atténuer cette vulnérabilité, Microsoft va supprimer le support du déploiement hand-free via des canaux non sécurisés par défaut.
Ce scénario ne concerne pas les mécanismes de déploiement de système d’exploitation utilisés par Microsoft Configuration Manager (SCCM ou MCM).
Les phases suivantes sont attendues :
- Janvier 2026 : Le déploiement hand-free est déprécié et les administrateurs sont fortement incités à le désactiver pour améliorer la sécurité.
Clé de registre : HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WdsServer/Providers/WdsImgSrv/Unattend
Valeur : AllowHandsFreeFunctionality à 0 - Avril 2026 : Le déploiement hand-free est totalement désactivé par défaut. Les administrateurs peuvent décider d’activer la fonctionnalité en comprenant les risques via :
Clé de registre : HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WdsServer/Providers/WdsImgSrv/Unattend
Valeur : AllowHandsFreeFunctionality à 1
Néanmoins, si vous utilisez des serveurs WDS avec ces scénarios spécifiques hand-free, Microsoft recommande le passage à d’autres méthodes telles que Windows Autopilot.
Plus d’informations sur : Windows Deployment Services (WDS) Hands-Free Deployment Hardening Guidance related to CVE-2026-0386 - Microsoft Support
