by Na de implementatie van de laatste ronde van Patch Tuesday-updates, onderzoekt Microsoft momenteel een bekend probleem dat leidt tot authenticatiefouten voor een aantal Windows-services.
Volgens BleepingComputerbegon de softwaregigant deze problemen te onderzoeken nadat Windows-beheerders rapporten begonnen te delen over bepaald beleid dat faalde na het installeren van de Patch Tuesday-updates van mei 2022.
Deze beheerders meldden dat ze na het installeren van de updates het volgende foutbericht begonnen te zien: “Verificatie mislukt vanwege een niet-overeenkomende gebruikersreferentie. De opgegeven gebruikersnaam is niet toegewezen aan een bestaand account of het wachtwoord was onjuist.”
Hoewel dit probleem gevolgen heeft voor client- en server-Windows-platforms en -systemen, inclusief die met Windows 11 en Windows Server 2022, zegt Microsoft dat het alleen wordt geactiveerd nadat updates zijn geïnstalleerd op servers die worden gebruikt als domeincontrollers.
In een ondersteuningsdocument legde het bedrijf uit dat authenticatiefouten kunnen optreden voor een aantal services, waaronder Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) en Protected Extensible Authentication Protocol ( PEAP).
Niet authenticeren
In een afzonderlijk ondersteuningsdocument ging Microsoft nader in op deze service-authenticatieproblemen door uit te leggen dat ze worden veroorzaakt door beveiligingsupdates die kwetsbaarheden op het gebied van privilege-escalatie in Windows Kerberos en de bijbehorende Active Directory Domain Services aanpakken.
Het beveiligingslek in Active Directory Domain Services van Microsoft (bijgehouden als CVE-2022-26923) heeft een zeer ernstige CVSS-score van 8,8 en kan, indien niet gepatcht, door een aanvaller worden misbruikt om de rechten van een account te verhogen tot die van een domeinbeheerder. Ondertussen heeft de kwetsbaarheid in Windows Kerberos (bijgehouden als CVE-2022-26931) ook een zeer ernstige CVSS-score van 7,5.
Om deze authenticatieproblemen te verminderen, stelt Microsoft voor dat Windows-beheerders certificaten handmatig toewijzen aan een computeraccount in Active Directory, hoewel het ook voorstelt om het Kerberos Operational-logboek te gebruiken om te zien welke domeincontroller zich niet kan aanmelden.
Maar toch, een Windows-beheerder die sprak met BleepingComputer zei dat de enige manier waarop ze sommige van hun gebruikers konden laten inloggen na de installatie van de laatste Patch Tuesday-updates, was door de StrongCertificateBindingEnforcement-registersleutel uit te schakelen door deze in te stellen op 0. Deze registersleutel wordt gebruikt om de handhavingsmodus van het Kerberos Distribution Center (KDC) van het bedrijf naar de compatibiliteitsmodus.
Nu Microsoft deze problemen actief onderzoekt en met tijdelijke oplossingen komt, zou er binnenkort een goede oplossing moeten komen, of in ieder geval tijdens de volgende Patch Tuesday-updates in juni.
Via BleepingComputer
