Menu dostępności

Majowe aktualizacje systemu Windows powodują błędy uwierzytelniania w AD

Microsoft ostrzega klientów, że majowa aktualizacja Patch Tuesday może powodować błędy uwierzytelniania i awarie związane z usługami domenowymi Windows Active Directory. W piątek Microsoft poinformował, że bada ten problem.

Dzieje się tak po tym, jak administratorzy systemu Windows zaczęli dzielić się raportami o niepowodzeniach w niektórych politykach po zainstalowaniu tegorocznych aktualizacji zabezpieczeń z komunikatem „Uwierzytelnianie nie powiodło się z powodu niedopasowania poświadczeń użytkownika. Podana nazwa użytkownika nie odpowiada istniejącemu kontu lub hasło jest nieprawidłowe”.

Problem dotyczy klienckich i serwerowych platform Windows oraz systemów działających we wszystkich wersjach systemu Windows, w tym w najnowszych dostępnych wydaniach (Windows 11 i Windows Server 2022).

Microsoft twierdzi, że znany problem jest wywoływany tylko po zainstalowaniu aktualizacji na serwerach używanych jako kontrolery domeny. Aktualizacje nie będą miały negatywnego wpływu po wdrożeniu na urządzeniach klienckich z systemem Windows i serwerach Windows bez kontrolerów domeny.

„Po zainstalowaniu aktualizacji wydanych 10 maja 2022 r. na kontrolerach domeny mogą wystąpić błędy uwierzytelniania na serwerze lub kliencie dla usług takich jak Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) i Protected Extensible Authentication Protocol (PEAP)” – wyjaśnia Microsoft.


Błąd uwierzytelniania spowodowany przez aktualizację zabezpieczeń

Microsoft wyjaśnia w osobnym dokumencie pomocy technicznej, że te trwające problemy z uwierzytelnianiem usług są spowodowane przez aktualizacje zabezpieczeń usuwające CVE-2022-26931 i CVE-2022-26923, dwie luki podwyższające poziom uprawnień w Windows Kerberos i Active Directory Domain Services.

Poważniejsza z nich, CVE-2022-26923 (odkryta przez badacza bezpieczeństwa Olivera Lyaka i nazwana Certifried), może pozwolić napastnikom z dostępem do konta o niskich uprawnieniach na podniesienie uprawnień do poziomu administratora domeny w domyślnych konfiguracjach Active Directory.


Obejście problemu

Aby rozwiązać znany problem do czasu udostępnienia oficjalnej aktualizacji, Microsoft zaleca ręczne mapowanie certyfikatów do konta maszyny w Active Directory.

Microsoft twierdzi, że aktualizacje z maja 2022 r. automatycznie ustawiają klucz rejestru StrongCertificateBindingEnforcement, który zmienia tryb egzekwowania w Centrum Dystrybucji Kerberosa (KDC) na tryb zgodności (a to powinno pozwolić na wszystkie próby autoryzacji, chyba że certyfikat jest starszy niż użytkownik)
Jeśli nie można znaleźć tego klucza w rejestrze, należy utworzyć go od nowa przy użyciu typu danych REG_DWORD i ustawić na 0, aby wyłączyć sprawdzanie mapowania silnych certyfikatów (chociaż nie jest to zalecane przez Microsoft, jest to jedyny sposób, aby umożliwić wszystkim użytkownikom zalogowanie się).

W listopadzie Microsoft zajął się również problemem błędów uwierzytelniania w systemie Windows Server związanych ze scenariuszami delegacji Kerberos, które mają wpływ na kontrolery domeny (DC), za pomocą aktualizacji pozapasmowych.

Problemy te są badane przez firmę Microsoft i wkrótce powinna być dostępna odpowiednia poprawka.

Microsoft opublikował również 73 nowe poprawki w ramach majowej comiesięcznej aktualizacji zabezpieczeń.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...