La actualización del parche de mayo de Microsoft está provocando errores de autenticación.
Microsoft está alertando a los clientes de que su actualización del martes de parches de mayo está provocando errores de autenticación y fallos relacionados con los servicios de dominio de Windows Active Directory. En una actualización del viernes, Microsoft dijo que estaba investigando el problema.
La advertencia se produce en medio de informes compartidos de múltiples servicios y políticas que fallan después de instalar la actualización de seguridad. «La autenticación ha fallado debido a que las credenciales del usuario no coinciden. El nombre de usuario proporcionado no se corresponde con una cuenta existente o la contraseña era incorrecta», publicó un administrador en un hilo de Reddit sobre el tema.
Según Microsoft, el problema se ha producido después de instalar las actualizaciones lanzadas el 10 de mayo de 2022.
«Después de instalar las actualizaciones publicadas el 10 de mayo de 2022 en sus controladores de dominio, es posible que vea fallos de autenticación en el servidor o en el cliente para servicios como Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) y Protected Extensible Authentication Protocol (PEAP)», informó Microsoft.
«Se ha encontrado un problema relacionado con el modo en que el controlador de dominio gestiona la asignación de certificados a cuentas de máquinas», añadió Microsoft.
El controlador de dominio es un servidor que se encarga de responder a las solicitudes de autenticación, así como de verificar al usuario en una red informática, y el directorio activo es un tipo de servicio de directorio que almacena la información sobre los objetos de una red y hace que esta información esté disponible para los usuarios.
Microsoft ha añadido una nota en la que se indica que la actualización no afectará a los dispositivos Windows del cliente ni a los servidores Windows que no sean controladores de dominio, y que sólo causará problemas en el servidor que actúe como controlador de dominio.
«La instalación de las actualizaciones publicadas el 10 de mayo de 2022 en los dispositivos Windows del cliente y en los servidores Windows que no son controladores de dominio no causará este problema. Este problema sólo afecta a la instalación de las actualizaciones del 10 de mayo de 2022, instaladas en servidores utilizados como controladores de dominio.» Explica Microsoft.
Fallo de autenticación provocado por una actualización de seguridad
Microsoft publica otro documento en el que se explican más detalles relacionados con el problema de autenticación causado por la actualización de seguridad que aborda las vulnerabilidades de escalada de privilegios en Windows Kerberos y su servicio de dominio de Active Directory.
Las vulnerabilidades se rastrean como CVE-2022-26931 en Windows Kerberos con una calificación CVSS de alta gravedad de 7,5 y CVE-2022-26923 (descubierta por el investigador de seguridad Oliver Lyak) en los Servicios de dominio de Active Directory de Microsoft. Tiene una puntuación CVSS de 8,8 y está calificada como alta. Un atacante puede explotar la vulnerabilidad si se deja sin parchear y escalar el privilegio al del administrador del dominio.
Workarounds
Microsoft aconseja a los administradores de dominio que asignen manualmente los certificados a un usuario en Active Directory hasta que las actualizaciones oficiales estén disponibles.
«Los administradores de dominio pueden asignar manualmente los certificados a un usuario en Active Directory utilizando el atributo altSecurityIdentities del objeto del usuario», añadió Microsoft.
«Si la mitigación preferida no funciona en su entorno, consulte ‘KB5014754-Cambios en la autenticación basada en certificados en los controladores de dominio de Windows’ para otras posibles mitigaciones en la sección de claves del registro SChannel», informó Microsoft.
Según Microsoft, cualquier otro método de mitigación podría no proporcionar un refuerzo de seguridad adecuado.
Según Microsoft, la actualización de mayo de 2022 permite todos los intentos de autenticación a menos que el certificado sea más antiguo que el usuario, esto se debe a que las actualizaciones establecen automáticamente la clave de registro StrongCertificateBindingEnforcement, «que cambia el modo de aplicación del KDC a modo deshabilitado, modo de compatibilidad o modo de aplicación completa», explica Microsoft.
Un administrador de Windows que habló con Bleepingcomputer dijo que la única manera de conseguir que algunos de los usuarios inicien sesión con la siguiente instalación del parche fue deshabilitar la clave StrongCertificateBindingEnforcement configurando su valor a 0.
Cambiando el valor de REG_DWORD DataType a 0, el administrador puede desactivar la comprobación del mapeo de certificados fuertes y puede crear la clave desde el principio. Este método no es recomendado por Microsoft, pero es la única manera de permitir que todos los usuarios se conecten.
Los problemas están siendo investigados por Microsoft y una solución adecuada debería estar disponible pronto.
Microsoft también ha publicado recientemente los 73 nuevos parches de la actualización mensual de mayo de correcciones de seguridad.