Microsoft ha emitido un parche fuera de banda que soluciona un problema que causaba fallas en la autenticación del servidor o del cliente en los controladores de dominio después de instalar las actualizaciones del martes de parches del 10 de mayo de 2022.
Los usuarios identificaron el problema del martes de parches poco después de que se emitiera la actualización mensual, y afectó a los servicios, incluidos el Servidor de políticas de redes (NPS), el Servicio de enrutamiento y acceso remoto (RRAS), Radius, el Protocolo de autenticación extensible (EAP) y el Protocolo de autenticación extensible protegido ( PEPA).
El problema se relacionaba con la forma en que el controlador de dominio manejaba la asignación de certificados a cuentas de máquina. Tenga en cuenta que solo afectó a los servidores utilizados como controladores de dominio, no a los dispositivos cliente de Windows ni a los servidores de Windows que no se utilizan como controladores de dominio.
“Este problema se resolvió en actualizaciones fuera de banda publicadas el 19 de mayo de 2022 para la instalación en controladores de dominio en su entorno. No se necesita ninguna acción por parte del cliente para resolver este problema de autenticación. Si usó alguna solución o mitigación para este problema, ya no son necesarios y le recomendamos que los elimine”, dijo Microsoft en una actualización.
Sin embargo, las actualizaciones no están disponibles desde Windows Update y no se instalarán automáticamente, por lo que los usuarios afectados deben consultar el Catálogo de actualizaciones de Microsoft y luego pueden importar manualmente las actualizaciones a Windows Server Update Services (WSUS) y Microsoft Endpoint Configuration Manager.
Según Microsoft, se suponía que las actualizaciones iniciales que causaron la interrupción de la autenticación abordaron un par de vulnerabilidades reveladas, CVE-2022-26931 y CVE-2022-26923 respectivamente, un par de vulnerabilidades de escalada de privilegios.
El primero de estos, en Windows Kerberos, se le atribuyó a Andrew Bartlett de Catalyst y Samba Team, mientras que la segunda, una vulnerabilidad más grave, se encuentra en Active Directory Domain Services y se le atribuyó a Oliver Lyak del Institut for Cyber Risk.
Esta es la segunda vez en los últimos meses que Microsoft ha tenido que emitir correcciones fuera de banda para problemas de autenticación relacionados con los controladores de dominio.
En noviembre pasado, solo una semana después del lanzamiento programado del martes de parches, solucionó un problema en la forma en que Windows Server manejaba los tokens de autenticación de Kerberos; después de que se descubrió un error en una extensión que causaba que los vales de Kerberos se autenticaran incorrectamente.
Esto, a su vez, provocó que las instancias vulnerables de Windows Server 2008, 2012, 2016 y 2019 que se usaban como controladores de dominio no pudieran autenticar a los usuarios que dependían de tokens de inicio de sesión único, junto con algunos servicios de Active Directory y SQL Server.
No es muy raro que Microsoft tenga que actuar fuera de su calendario de parches, aunque a menudo se puede leer como una indicación de que el lanzamiento de Patch Tuesday ha tenido consecuencias imprevistas, que el problema es extremadamente grave o que algo fuera del control de Microsoft ha ido cómicamente mal.
El verano pasado, la vulnerabilidad de ejecución remota de código (RCE) de PrintNightmare en Windows Print Spooler brindó un excelente ejemplo de este último escenario, luego de que una revelación de explotación realizada por error que se suponía era para una vulnerabilidad parcheada anteriormente resultó ser una revelación de explotación. para un día cero no descubierto, CVE-2021-34527.
En el caos resultante, el parche fuera de banda de Microsoft tuvo que ser parcheado nuevamente después de que se supo que, si bien abordaba el componente RCE de PrintNightmare, no protegía contra la escalada de privilegios locales (LPE).