Критический сбой, вызванный ежемесячным обновлением безопасности, парализует работу ключевых серверов в корпоративных сетях, вынуждая их уходить в бесконечную перезагрузку. Проблема затрагивает контроллеры домена на базе Windows Server 2025, развернувшие накопительное обновление KB5082063, выпущенное 14 апреля 2026 года. Помимо цикла перезапусков, уязвимость провоцирует неожиданные запросы ключей восстановления BitLocker, создавая серьёзные операционные риски для удалённо управляемых инфраструктур. Этот инцидент стал наглядным примером того, как рутинная процедура установки исправлений может сама по себе стать источником системного отказа, особенно в критически важных сегментах IT-ландшафта.
Уязвимость CVE-2026-0386
Компания Microsoft официально подтвердила наличие известной проблемы, влияющей на контроллеры домена Windows Server 2025 после развёртывания апрельского накопительного обновления KB5082063. Обновление, являющееся частью регулярного цикла безопасности (Patch Tuesday), должно было закрыть ряд уязвимостей, включая проблемы аутентификации Kerberos, обработки сертификатов Secure Boot, защиты от фишинга в Remote Desktop и усиление безопасности служб развёртывания Windows, связанное с CVE-2026-0386. Однако вместо укрепления защиты оно привело к дестабилизации: затронутые контроллеры домена начали входить в повторяющиеся циклы перезагрузки, делая невозможным их нормальное функционирование. Microsoft в своём сервисном оповещении описывает масштаб проблемы как "ограниченный, но не повсеместный", что, однако, мало утешает администраторов, столкнувшихся с простоем ключевой службы каталогов.
Параллельно с основной проблемой цикла перезагрузки возникла отдельная, но связанная сложность. На системах с включённым шифрованием BitLocker и определённой конфигурацией доверенного платформенного модуля (TPM) после установки обновления начали появляться запросы ключа восстановления. Эта ситуация в первую очередь характерна для корпоративных сред, где управление политиками осуществляется централизованно, и маловероятна на потребительских устройствах. Хотя ключ, как правило, требуется ввести лишь одинжды при неизменной конфигурации, сам факт такого запроса представляет серьёзную угрозу для серверов с удалённым управлением или работающих в режиме "без присутствия персонала", где доступ к ключам восстановления заранее не обеспечен. Потенциальная блокировка системы в такой ситуации может привести к длительному простою.
С технической точки зрения, проблема затрагивает все редакции Windows Server 2025 с номером сборки 26100.32690. Microsoft включила цикл перезагрузки контроллера домена в список известных проблем в документации к KB5082063, наряду с другими ограничениями, такими как отсутствие деталей ошибок синхронизации в WSUS, которое было введено ранее для устранения уязвимости удалённого выполнения кода CVE-2025-59287. Помимо перезагрузок, некоторые серверы также сталкиваются с ошибкой установки с кодом 0x800F0983, что полностью блокирует применение проблемного обновления. Компания заявила, что активно анализирует диагностические данные для выявления первопричины, но на момент публикации окончательного инженерного заключения не предоставила.
Последствия данной ситуации носят выраженный операционный и финансовый характер. Контроллер домена - это фундаментальный компонент любой Active Directory-среды, отвечающий за аутентификацию пользователей и компьютеров, применение групповых политик и обеспечение безопасности домена. Его выход из строя означает, что пользователи не могут войти в систему, получить доступ к сетевым ресурсам, а автоматизированные процессы, зависящие от учётных записей служб, останавливаются. Для бизнеса это выливается в простой сотрудников, срыв транзакций и потенциальные убытки. Риск, связанный с BitLocker, усугубляет ситуацию, угрожая полной потерей доступа к данным на зашифрованных дисках серверов, если ключ восстановления недоступен.
В свете сложившейся обстановки Microsoft рекомендует администраторам принять ряд предосторожностей. Прежде всего, следует приостановить широкое развёртывание обновления в производственной среде, особенно если уже наблюдаются множественные сбои. Крайне важно заранее убедиться в наличии и доступности ключей восстановления BitLocker для всех зашифрованных систем перед любыми дальнейшими перезагрузками. Для диагностики полезно обратиться к журналу событий Windows, в частности, к подразделу WindowsUpdateClient > Operational, где можно найти точные коды ошибок и временные метки. В случае подозрений на повреждение хранилища компонентов системы можно использовать встроенные средства проверки целостности. При этом следует избегать массовых повторных попыток установки обновления, сосредоточившись сначала на анализе одного репрезентативного проблемного сервера.
На текущий момент, 17 апреля 2026 года, Microsoft не выпустила внеочередное исправление для проблемы с циклом перезагрузок. Компания продолжает сбор телеметрии и обещает предоставлять дальнейшие обновления через панель состояния выпусков Windows и официальные каналы поддержки. Организациям, использующим Windows Server 2025 в критически важных ролях, настоятельно рекомендуется отложить неэкстренное обновление до тех пор, пока Microsoft не предложит подтверждённый путь к решению. Этот инцидент в очередной раз подчёркивает важность тщательного тестирования обновлений, особенно для серверных ОС, в изолированной среде перед их развёртыванием в production, а также необходимость наличия надёжного и проверенного плана отката на случай непредвиденных последствий.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-0386
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-0386
- https://support.microsoft.com/en-us/topic/april-14-2026-kb5082063-os-build-26100-32690-c57e289d-27c9-47cd-a183-72fabc62c5d7
