Майское обновление Microsoft Patch вторник вызывает ошибки аутентификации.
Microsoft предупреждает клиентов о том, что майское обновление, выпущенное во вторник , вызывает ошибки и сбои аутентификации, связанные с доменными службами Windows Active Directory. В пятничном обновлении Microsoft заявила, что изучает проблему.
Предупреждение появляется на фоне общих отчетов о сбое нескольких служб и политик после установки обновления безопасности. «Аутентификация не удалась из-за несоответствия учетных данных пользователя. Либо предоставленное имя пользователя не соответствует существующей учетной записи, либо введен неправильный пароль». опубликовал админ в ветке Reddit по этой теме.
По данным Microsoft, проблема возникла после установки обновлений, выпущенных 10 мая 2022 года.
«После установки обновлений, выпущенных 10 мая 2022 г., на ваших контроллерах домена вы можете столкнуться с ошибками аутентификации на сервере или клиенте для таких служб, как сервер политики сети (NPS) , служба маршрутизации и удаленного доступа (RRAS) , Radius , Extensible Authentication Protocol ( EAP) и защищенный расширяемый протокол аутентификации (PEAP) », — сообщает Microsoft.
«Обнаружена проблема, связанная с тем, как контроллер домена обрабатывает сопоставление сертификатов с учетными записями компьютеров», — добавили в Microsoft.
Контроллер домена — это сервер, который отвечает за ответы на запросы аутентификации, а также за проверку пользователя в компьютерной сети, а активный каталог — это тип службы каталогов, которая хранит информацию об объектах в сети и делает эту информацию легкодоступной. для пользователей.
Microsoft добавила примечание о том, что обновление не повлияет на клиентские устройства Windows и серверы Windows, не являющиеся контроллерами домена, и вызовет проблемы только для сервера, выступающего в качестве контроллера домена.
«Установка обновлений, выпущенных 10 мая 2022 года, на клиентских устройствах Windows и серверах Windows, не являющихся контроллерами домена, не вызовет этой проблемы. Эта проблема касается только установки обновлений от 10 мая 2022 года, установленных на серверах, используемых в качестве контроллеров домена». Майкрософт объясняет.
Уязвимости отслеживаются как CVE-2022-26931 в Windows Kerberos с рейтингом высокой опасности CVSS 7,5 и CVE-2022-26923 (обнаружена исследователем безопасности Оливером Ляком ) в доменных службах Microsoft Active Directory. Он имеет оценку CVSS 8,8 и оценивается как высокий. Злоумышленник может воспользоваться уязвимостью, если она не будет исправлена, и повысить привилегии до прав администратора домена .
«Администраторы домена могут вручную сопоставлять сертификаты с пользователем в Active Directory, используя атрибут altSecurityIdentities объекта пользователя», — добавила Microsoft.
«Если предпочитаемое средство защиты не будет работать в вашей среде, см. «KB5014754 — Изменения проверки подлинности на основе сертификатов на контроллерах домена Windows» для других возможных мер в разделе ключа реестра SChannel», — сообщает Microsoft.
Согласно Microsoft, любой другой метод смягчения может не обеспечить адекватного усиления безопасности.
Согласно Microsoft, обновление от мая 2022 года разрешает все попытки аутентификации, если только сертификат не старше пользователя, это связано с тем, что обновления автоматически устанавливают ключ реестра StrongCertificateBindingEnforcement, «который изменяет режим принудительного применения KDC на Disabled Mode, Compatibility Mode, или Full Enforcement Mode», — объясняет Microsoft.
Один из оконных администраторов, который разговаривал с Bleepingcomputer , сказал, что единственный способ, которым они смогли заставить некоторых пользователей войти в систему с помощью следующей установки исправления, — это отключить ключ StrongCertificateBindingEnforcement, установив для него значение 0.
Изменив значение REG_DWORD DataType на 0, администратор может отключить проверку надежного сопоставления сертификатов и создать ключ с нуля. Этот метод не рекомендуется Microsoft, но это единственный способ разрешить вход всем пользователям.
Корпорация Майкрософт должным образом расследует проблемы, и в ближайшее время должно быть доступно соответствующее исправление.
Microsoft также недавно выпустила 73 новых патча ежемесячного майского обновления исправлений безопасности.
Microsoft предупреждает клиентов о том, что майское обновление, выпущенное во вторник , вызывает ошибки и сбои аутентификации, связанные с доменными службами Windows Active Directory. В пятничном обновлении Microsoft заявила, что изучает проблему.
Предупреждение появляется на фоне общих отчетов о сбое нескольких служб и политик после установки обновления безопасности. «Аутентификация не удалась из-за несоответствия учетных данных пользователя. Либо предоставленное имя пользователя не соответствует существующей учетной записи, либо введен неправильный пароль». опубликовал админ в ветке Reddit по этой теме.
По данным Microsoft, проблема возникла после установки обновлений, выпущенных 10 мая 2022 года.
«После установки обновлений, выпущенных 10 мая 2022 г., на ваших контроллерах домена вы можете столкнуться с ошибками аутентификации на сервере или клиенте для таких служб, как сервер политики сети (NPS) , служба маршрутизации и удаленного доступа (RRAS) , Radius , Extensible Authentication Protocol ( EAP) и защищенный расширяемый протокол аутентификации (PEAP) », — сообщает Microsoft.
«Обнаружена проблема, связанная с тем, как контроллер домена обрабатывает сопоставление сертификатов с учетными записями компьютеров», — добавили в Microsoft.
Контроллер домена — это сервер, который отвечает за ответы на запросы аутентификации, а также за проверку пользователя в компьютерной сети, а активный каталог — это тип службы каталогов, которая хранит информацию об объектах в сети и делает эту информацию легкодоступной. для пользователей.
Microsoft добавила примечание о том, что обновление не повлияет на клиентские устройства Windows и серверы Windows, не являющиеся контроллерами домена, и вызовет проблемы только для сервера, выступающего в качестве контроллера домена.
«Установка обновлений, выпущенных 10 мая 2022 года, на клиентских устройствах Windows и серверах Windows, не являющихся контроллерами домена, не вызовет этой проблемы. Эта проблема касается только установки обновлений от 10 мая 2022 года, установленных на серверах, используемых в качестве контроллеров домена». Майкрософт объясняет.
Ошибка аутентификации, вызванная обновлением безопасности
Microsoft выпускает еще один документ , объясняющий дополнительные подробности, связанные с проблемой аутентификации, вызванной обновлением безопасности, устраняющим уязвимости повышения привилегий в Windows Kerbose и ее доменной службе Active Directory.Уязвимости отслеживаются как CVE-2022-26931 в Windows Kerberos с рейтингом высокой опасности CVSS 7,5 и CVE-2022-26923 (обнаружена исследователем безопасности Оливером Ляком ) в доменных службах Microsoft Active Directory. Он имеет оценку CVSS 8,8 и оценивается как высокий. Злоумышленник может воспользоваться уязвимостью, если она не будет исправлена, и повысить привилегии до прав администратора домена .
Обходные пути
Microsoft рекомендует администраторам домена вручную сопоставлять сертификаты с пользователем в Active Directory, пока не будут доступны официальные обновления.«Администраторы домена могут вручную сопоставлять сертификаты с пользователем в Active Directory, используя атрибут altSecurityIdentities объекта пользователя», — добавила Microsoft.
«Если предпочитаемое средство защиты не будет работать в вашей среде, см. «KB5014754 — Изменения проверки подлинности на основе сертификатов на контроллерах домена Windows» для других возможных мер в разделе ключа реестра SChannel», — сообщает Microsoft.
Согласно Microsoft, любой другой метод смягчения может не обеспечить адекватного усиления безопасности.
Согласно Microsoft, обновление от мая 2022 года разрешает все попытки аутентификации, если только сертификат не старше пользователя, это связано с тем, что обновления автоматически устанавливают ключ реестра StrongCertificateBindingEnforcement, «который изменяет режим принудительного применения KDC на Disabled Mode, Compatibility Mode, или Full Enforcement Mode», — объясняет Microsoft.
Один из оконных администраторов, который разговаривал с Bleepingcomputer , сказал, что единственный способ, которым они смогли заставить некоторых пользователей войти в систему с помощью следующей установки исправления, — это отключить ключ StrongCertificateBindingEnforcement, установив для него значение 0.
Изменив значение REG_DWORD DataType на 0, администратор может отключить проверку надежного сопоставления сертификатов и создать ключ с нуля. Этот метод не рекомендуется Microsoft, но это единственный способ разрешить вход всем пользователям.
Корпорация Майкрософт должным образом расследует проблемы, и в ближайшее время должно быть доступно соответствующее исправление.
Microsoft также недавно выпустила 73 новых патча ежемесячного майского обновления исправлений безопасности.