网络安全研究员Zhiniang Peng发布的无需务崩技术分析报告显示，Windows部署服务（WDS ，认证软拒Windows Deployment Services）中新曝光的漏洞拒绝服务（DoS，Denial of Service）漏洞可能对企业网络造成严重影响 。可致溃微该漏洞允许攻击者通过伪造的署服UDP数据包耗尽系统内存 ，导致服务器在数分钟内完全失去响应——整个过程无需任何认证或用户交互。香港云服务器绝修

Peng在报告中指出 ："我们证实了WDS中存在远程DoS漏洞，无需务崩攻击者无需认证（预认证）或用户交互（零点击）即可使WDS网络崩溃 。认证软拒"

该漏洞根源在于WDS使用基于UDP的漏洞TFTP服务（端口69）通过PXE启动传输Windows安装镜像
 。当客户端连接服务器时，可致溃微WDS会分配一个CTftpSession对象  ，署服但系统对可创建的绝修会话数量没有限制 。高防服务器

报告指出："核心问题在于EndpointSessionMapEntry未对会话数量进行限制。无需务崩攻击者可伪造客户端IP地址和端口号
  ，认证软拒不断创建新会话直至系统资源耗尽。漏洞"

在配备8GB内存的Windows Server Insider Preview测试环境中，Peng仅通过发送大量源地址和端口随机的伪造UDP数据包，就可在7分钟内使整个系统崩溃。模板下载

攻击实施仅需三个步骤：

虽然出于道德考虑Peng仅提供了伪代码，但该漏洞利用技术实现简单，攻击者只需在运行Ubuntu等操作系统的设备上编写基础脚本即可实施攻击  。

该漏洞于2025年2月8日报告给微软，服务器租用并于3月4日获得确认 。但微软在4月23日表示该漏洞"未达到安全服务修复标准"
 ，决定不予修复。

Peng对此决定提出尖锐批评："我们认为这在其SDL标准中仍属重要DoS漏洞，与微软就此事的沟通令人非常失望
。"他强调这是种零点击攻击，免费模板可远程瘫痪基于PXE的部署基础设施 ，对依赖WDS的组织构成严重威胁。

鉴于微软未发布修复补丁，Peng给出了明确建议："为保护PXE网络免受此威胁，请勿使用Windows部署服务 。"