Majowe aktualizacje systemu Windows powodują błędy uwierzytelniania w AD

Błąd uwierzytelniania spowodowany przez aktualizację zabezpieczeń

Microsoft wyjaśnia w osobnym dokumencie pomocy technicznej, że te trwające problemy z uwierzytelnianiem usług są spowodowane przez aktualizacje zabezpieczeń usuwające CVE-2022-26931 i CVE-2022-26923, dwie luki podwyższające poziom uprawnień w Windows Kerberos i Active Directory Domain Services.

Poważniejsza z nich, CVE-2022-26923 (odkryta przez badacza bezpieczeństwa Olivera Lyaka i nazwana Certifried), może pozwolić napastnikom z dostępem do konta o niskich uprawnieniach na podniesienie uprawnień do poziomu administratora domeny w domyślnych konfiguracjach Active Directory.

Obejście problemu

Aby rozwiązać znany problem do czasu udostępnienia oficjalnej aktualizacji, Microsoft zaleca ręczne mapowanie certyfikatów do konta maszyny w Active Directory.

Microsoft twierdzi, że aktualizacje z maja 2022 r. automatycznie ustawiają klucz rejestru StrongCertificateBindingEnforcement, który zmienia tryb egzekwowania w Centrum Dystrybucji Kerberosa (KDC) na tryb zgodności (a to powinno pozwolić na wszystkie próby autoryzacji, chyba że certyfikat jest starszy niż użytkownik)
Jeśli nie można znaleźć tego klucza w rejestrze, należy utworzyć go od nowa przy użyciu typu danych REG_DWORD i ustawić na 0, aby wyłączyć sprawdzanie mapowania silnych certyfikatów (chociaż nie jest to zalecane przez Microsoft, jest to jedyny sposób, aby umożliwić wszystkim użytkownikom zalogowanie się).

W listopadzie Microsoft zajął się również problemem błędów uwierzytelniania w systemie Windows Server związanych ze scenariuszami delegacji Kerberos, które mają wpływ na kontrolery domeny (DC), za pomocą aktualizacji pozapasmowych.

Problemy te są badane przez firmę Microsoft i wkrótce powinna być dostępna odpowiednia poprawka.

Microsoft opublikował również 73 nowe poprawki w ramach majowej comiesięcznej aktualizacji zabezpieczeń.