Microsoft ostrzega klientów, że majowa aktualizacja Patch Tuesday może powodować błędy uwierzytelniania i awarie związane z usługami domenowymi Windows Active Directory. W piątek Microsoft poinformował, że bada ten problem.
Dzieje się tak po tym, jak administratorzy systemu Windows zaczęli dzielić się raportami o niepowodzeniach w niektórych politykach po zainstalowaniu tegorocznych aktualizacji zabezpieczeń z komunikatem “Uwierzytelnianie nie powiodło się z powodu niedopasowania poświadczeń użytkownika. Podana nazwa użytkownika nie odpowiada istniejącemu kontu lub hasło jest nieprawidłowe”.
Problem dotyczy klienckich i serwerowych platform Windows oraz systemów działających we wszystkich wersjach systemu Windows, w tym w najnowszych dostępnych wydaniach (Windows 11 i Windows Server 2022).
Microsoft twierdzi, że znany problem jest wywoływany tylko po zainstalowaniu aktualizacji na serwerach używanych jako kontrolery domeny. Aktualizacje nie będą miały negatywnego wpływu po wdrożeniu na urządzeniach klienckich z systemem Windows i serwerach Windows bez kontrolerów domeny.
“Po zainstalowaniu aktualizacji wydanych 10 maja 2022 r. na kontrolerach domeny mogą wystąpić błędy uwierzytelniania na serwerze lub kliencie dla usług takich jak Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) i Protected Extensible Authentication Protocol (PEAP)” – wyjaśnia Microsoft.
Błąd uwierzytelniania spowodowany przez aktualizację zabezpieczeń
Microsoft wyjaśnia w osobnym dokumencie pomocy technicznej, że te trwające problemy z uwierzytelnianiem usług są spowodowane przez aktualizacje zabezpieczeń usuwające CVE-2022-26931 i CVE-2022-26923, dwie luki podwyższające poziom uprawnień w Windows Kerberos i Active Directory Domain Services.
Poważniejsza z nich, CVE-2022-26923 (odkryta przez badacza bezpieczeństwa Olivera Lyaka i nazwana Certifried), może pozwolić napastnikom z dostępem do konta o niskich uprawnieniach na podniesienie uprawnień do poziomu administratora domeny w domyślnych konfiguracjach Active Directory.
Obejście problemu
Aby rozwiązać znany problem do czasu udostępnienia oficjalnej aktualizacji, Microsoft zaleca ręczne mapowanie certyfikatów do konta maszyny w Active Directory.
Microsoft twierdzi, że aktualizacje z maja 2022 r. automatycznie ustawiają klucz rejestru StrongCertificateBindingEnforcement, który zmienia tryb egzekwowania w Centrum Dystrybucji Kerberosa (KDC) na tryb zgodności (a to powinno pozwolić na wszystkie próby autoryzacji, chyba że certyfikat jest starszy niż użytkownik)
Jeśli nie można znaleźć tego klucza w rejestrze, należy utworzyć go od nowa przy użyciu typu danych REG_DWORD i ustawić na 0, aby wyłączyć sprawdzanie mapowania silnych certyfikatów (chociaż nie jest to zalecane przez Microsoft, jest to jedyny sposób, aby umożliwić wszystkim użytkownikom zalogowanie się).
W listopadzie Microsoft zajął się również problemem błędów uwierzytelniania w systemie Windows Server związanych ze scenariuszami delegacji Kerberos, które mają wpływ na kontrolery domeny (DC), za pomocą aktualizacji pozapasmowych.
Problemy te są badane przez firmę Microsoft i wkrótce powinna być dostępna odpowiednia poprawka.
Microsoft opublikował również 73 nowe poprawki w ramach majowej comiesięcznej aktualizacji zabezpieczeń.