Microsoft đang cảnh báo khách hàng rằng bản cập nhật Bản vá vào thứ Ba có thể gây ra lỗi xác thực và các lỗi liên quan đến Dịch vụ miền của Windows Active Directory. Trong hôm thứ Sáu, Microsoft cập nhật họ đang điều tra vấn đề.
Cảnh báo được đưa ra trong bối cảnh các báo cáo được chia sẻ về nhiều dịch vụ và chính sách bị lỗi sau khi cài đặt bản cập nhật bảo mật. “Xác thực không thành công do thông tin đăng nhập của người dùng không khớp. Tên người dùng được cung cấp không liên kết với tài khoản hiện có hoặc mật khẩu không chính xác. ” đã đăng một quản trị viên lên một chủ đề Reddit về chủ đề này.
Theo Microsoft, sự cố đã được gây ra sau khi cài đặt các bản cập nhật được phát hành vào ngày 10 tháng 5 năm 2022.
Microsoft báo cáo: “Sau khi cài đặt các bản cập nhật được phát hành vào ngày 10 tháng 5 năm 2022 trên bộ điều khiển miền của bạn, bạn có thể thấy lỗi xác thực trên máy chủ hoặc máy khách đối với các dịch vụ như Máy chủ chính sách mạng (NPS), Dịch vụ định tuyến và truy cập từ xa (RRAS), Bán kính, Giao thức xác thực có thể mở rộng ( EAP) và Giao thức xác thực mở rộng được bảo vệ (PEAP). Một vấn đề đã được tìm thấy liên quan đến cách ánh xạ chứng chỉ với tài khoản máy đang được bộ điều khiển miền xử lý,”
Microsoft đã thêm một lưu ý rằng bản cập nhật sẽ không ảnh hưởng đến các thiết bị Windows của khách hàng và máy chủ cửa sổ bộ điều khiển không miền và sẽ chỉ gây ra sự cố cho máy chủ hoạt động như một bộ điều khiển miền.
Lỗi xác thực do Cập nhật bảo mật gây ra
Microsoft phát hành một tài liệu khác, giải thích thêm chi tiết liên quan đến vấn đề xác thực do bản cập nhật bảo mật giải quyết các lỗ hổng leo thang đặc quyền trong Windows Kerbose và Dịch vụ miền Active Directory của nó.
Các lỗ hổng được theo dõi là CVE-2022-26931 trong Windows Kerberos với xếp hạng CVSS mức độ nghiêm trọng cao là 7,5 và CVE-2022-26923 (do nhà nghiên cứu bảo mật Oliver Lyak phát hiện) trong Dịch vụ miền Active Directory của Microsoft. Nó có điểm CVSS là 8,8 và được đánh giá là cao. Kẻ tấn công có thể khai thác lỗ hổng bảo mật nếu chưa được vá và nâng cấp đặc quyền lên đặc quyền của quản trị viên miền.
Cách giải quyết
Quản trị viên Miền được Microsoft khuyên nên ánh xạ thủ công các chứng chỉ tới người dùng trong Active Directory cho đến khi có các bản cập nhật chính thứ: “Quản trị viên miền có thể ánh xạ thủ công chứng chỉ với người dùng trong Active Directory bằng cách sử dụng thuộc tính altSecurityIdentities của Đối tượng của người dùng.”
“Nếu tính năng giảm thiểu ưu tiên sẽ không hoạt động trong môi trường của bạn, vui lòng xem‘ KB5014754 — Thay đổi xác thực dựa trên chứng chỉ trên bộ điều khiển miền Windows ’để biết các biện pháp giảm thiểu có thể có khác trong phần khóa đăng ký SChannel,” được Microsoft báo cáo.
Theo Microsoft, bất kỳ phương pháp giảm thiểu nào khác có thể không cung cấp khả năng tăng cường bảo mật đầy đủ.
Quản trị viên One Window đã nói chuyện với Bleepingcomputer cho biết rằng cách duy nhất họ có thể đưa một số người dùng đăng nhập với bản cài đặt sau của bản vá là vô hiệu hóa khóa StrongCertificateBindingEnforcement bằng cách cài đặt giá trị của nó thành 0.
Bằng cách thay đổi giá trị REG_DWORD DataType thành 0, quản trị viên có thể tắt kiểm tra ánh xạ chứng chỉ mạnh và có thể tạo khóa từ đầu. Phương pháp này không được Microsoft khuyến nghị, nhưng đó là cách duy nhất để cho phép tất cả người dùng đăng nhập.
Các vấn đề đã được Microsoft điều tra chính xác và sẽ sớm có bản sửa lỗi thích hợp.
Microsoft gần đây cũng đã phát hành 73 bản vá lỗi mới của bản cập nhật hàng tháng về các bản sửa lỗi bảo mật.
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://threatpost.com/microsofts-may-patch-tuesday-updates-cause-windows-ad-authentication-errors/179631/
