Windows Kerberos auth: Έκτακτη ενημέρωση για το νέο σφάλμα

Η Microsoft δημιούργησε μια out-of-band ενημέρωση για τη διόρθωση ενός προβλήματος που προκάλεσε αποτυχίες σύνδεσης και άλλες δυσκολίες ελέγχου ταυτότητας Windows Kerberos auth σε επιχειρήσεις, μετά την εγκατάσταση των σωρευτικών ενημερώσεων Patch Tuesday του τρέχοντος μήνα.

Δείτε επίσης: Windows Kerberos: Σφάλμα Αuthentication λόγω update Νοεμβρίου

Τη Δευτέρα, η εταιρεία ανακοίνωσε ότι είχε αρχίσει να διερευνά ένα πρόβλημα ελέγχου ταυτότητας Kerberos, το οποίο θα μπορούσε να επηρεάσει οποιοδήποτε σενάριο σε περιβάλλοντα επιχειρήσεων.

Η Microsoft έχει υποσχεθεί να βελτιώσει την ασφάλεια για το Kerberos και το Netlogon από τον Νοέμβριο του 2022, ωστόσο ισχυρίζεται ότι η τρέχουσα σειρά προβλημάτων ελέγχου ταυτότητας δεν σχετίζεται με αυτά.

Μετά την εγκατάσταση ενημερώσεων που κυκλοφόρησαν στις 8 Νοεμβρίου 2022 ή αργότερα για διακομιστές Windows με ρόλο ελεγκτή τομέα, ενδέχεται να έχετε προβλήματα ελέγχου ταυτότητας στο Windows Kerberos auth, όπως εξηγεί η Microsoft.

Όταν υπάρχει αυτό το πρόβλημα, θα δείτε ένα σφάλμα Microsoft-Windows-Kerberos-Key-Distribution Event ID 14 στην ενότητα System του αρχείου καταγραφής συμβάντων του ελεγκτή τομέα.

Αυτή η αλλαγή επηρεάζει τα ακόλουθα σενάρια ελέγχου ταυτότητας Kerberos:

• ​Η σύνδεση χρήστη του τομέα μπορεί να αποτύχει. Αυτό μπορεί επίσης να επηρεάσει τον έλεγχο ταυτότητας για τις υπηρεσίες Active Directory (AD FS).

• ​Οι Λογαριασμοί υπηρεσιών διαχείρισης ομάδας (gMSA) μπορεί μερικές φορές να αποτυγχάνουν να πιστοποιήσουν τον έλεγχο ταυτότητας όταν χρησιμοποιούνται για υπηρεσίες, όπως οι Internet Information Services (IIS Web Server).

Δείτε ακόμα: Δημοσιεύτηκε το exploit για την επίθεση Windows Kerberos Bronze Bit

• ​Οι χρήστες ενδέχεται να αποτύχουν να συνδεθούν σε μια απομακρυσμένη επιφάνεια εργασίας εάν χρησιμοποιούν λογαριασμό τομέα.

• ​Ενδέχεται να μην μπορείτε να ανοίξετε κοινόχρηστους φακέλους σε υπολογιστές ή κοινόχρηστα αρχεία που βρίσκονται σε διακομιστές.

Σήμερα, η Microsoft κυκλοφόρησε κάποιες επείγουσες ενημερώσεις που οι διαχειριστές των Windows πρέπει να εγκαταστήσουν σε όλους τους ελεγκτές τομέα (DC) σε περιβάλλοντα που επηρεάζονται από το πρόβλημα.

Η Microsoft δήλωσε ότι “δεν χρειάζεται να εγκαταστήσετε καμία ενημέρωση ή να κάνετε αλλαγές σε άλλους διακομιστές ή συσκευές-πελάτες στο περιβάλλον σας για να επιλύσετε αυτό το πρόβλημα.”

“Αν χρησιμοποιήσατε περιορισμούς ή παρακάμψεις για αυτό το πρόβλημα στο παρελθόν, τώρα είναι περιττές. Σας συμβουλεύουμε να τα αφαιρέσετε.“

Οι ενημερώσεις OOB που κυκλοφόρησαν σήμερα είναι προσβάσιμες μόνο μέσω του Microsoft Update Catalog και δεν θα είναι διαθέσιμες στο Windows Update.

Η εταιρεία κυκλοφόρησε σωρευτικές ενημερώσεις για εγκατάσταση σε ελεγκτές τομέα. Δεν απαιτείται δράση από την πλευρά του πελάτη.

• Windows Server 2022: KB5021656
• Windows Server 2019: KB5021655
• Windows Server 2016: KB5021654

Δείτε επίσης: Microsoft: Το update KB4586786 δημιουργεί σφάλμα στο Kerberos

Επιπλέον, η Microsoft κυκλοφόρησε μεμονωμένες ενημερώσεις που μπορούν να εισαχθούν στις υπηρεσίες Windows Server Update Services (WSUS) και Microsoft Endpoint Configuration Manager.

• Windows Server 2012 R2: KB5021653
• Windows Server 2012: KB5021652
• Windows Server 2008 SP2: KB5021657

Η μόνη πλατφόρμα που εξακολουθεί να περιμένει διόρθωση είναι ο Windows Server 2008 R2 SP1, αλλά η εταιρεία λέει ότι μια ειδική ενημέρωση θα κυκλοφορήσει την επόμενη εβδομάδα.