Microsoft está investigando un nuevo problema que hace que los controladores de dominio empresarial experimenten fallas de inicio de sesión de Kerberos y otros problemas de autenticación, después de instalar actualizaciones acumulativas lanzadas durante el martes de parches de este mes.
En los parches de noviembre se corrigieron 68 fallas en total, incluyendo 6 vulnerabilidades de Windows explotadas activamente. Once de las 68 vulnerabilidades se clasificaron como «Críticas», ya que permiten la elevación de privilegios, la suplantación de identidad o la ejecución remota de código.
- 27 Vulnerabilidades de elevación de privilegios
- 4 Vulnerabilidades de omisión de funciones de seguridad
- 16 vulnerabilidades de ejecución remota de código
- 11 Vulnerabilidades de divulgación de información
- 6 Vulnerabilidades de denegación de servicio
- 3 vulnerabilidades de suplantación de identidad
Kerberos ha reemplazado el protocolo NTLM como el protocolo de autenticación predeterminado para dispositivos conectados a un dominio en todas las versiones de Windows anteriores a Windows 2000.
Los lectores de BleepingComputer también informaron hace tres días que las actualizaciones de noviembre «rompen Kerberos en situaciones en las que ha establecido las opciones de cuenta ‘Esta cuenta admite el cifrado Kerberos AES de 256 bits’ o ‘Esta cuenta admite el cifrado Kerberos AES de 128 bits’ (es decir, msDS- atributo SupportedEncryptionTypes) en cuentas de usuario en AD».
El problema, investigado activamente por Redmond, puede afectar cualquier escenario de autenticación Kerberos dentro de los entornos empresariales afectados. «Después de instalar las actualizaciones lanzadas el 8 de noviembre de 2022 o más tarde en los servidores de Windows con la función de controlador de dominio, es posible que tenga problemas con la autenticación de Kerberos», explicó Microsoft. «Cuando se encuentra este problema, es posible que reciba un evento de error de Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 en la sección Sistema del registro de eventos en su controlador de dominio». Los errores registrados en los registros de eventos del sistema se etiquetarán con la frase «the missing key has an ID of 1».
La lista de escenarios de autenticación de Kerberos incluye, entre otros, los siguientes:
- El inicio de sesión del usuario del dominio puede fallar. Esto también podría afectar la autenticación de los Servicios de federación de Active Directory (AD FS).
- Las cuentas de servicio administradas de grupo (gMSA) utilizadas para servicios como Internet Information Services (IIS Web Server) pueden fallar en la autenticación.
- Es posible que las conexiones de escritorio remoto que usan usuarios de dominio no se conecten.
- Es posible que no pueda acceder a carpetas compartidas en estaciones de trabajo y recursos compartidos en servidores.
- La impresión que requiere autenticación de usuario de dominio puede fallar.
El error afecta a las plataformas cliente y servidor
La lista completa de plataformas afectadas incluye versiones de cliente y servidor:
- Cliente: Windows 7 SP1, Windows 8.1, Windows 10 Enterprise LTSC 2019, Windows 10 Enterprise LTSC 2016, Windows 10 Enterprise 2015 LTSB, Windows 10 20H2 o posterior y Windows 11 21H2 o posterior
- Servidor: Windows Server 2008 SP2 o posterior, incluida la versión más reciente, Windows Server 2022.
Si bien Microsoft comenzó a reforzar la seguridad para Netlogon y Kerberos a partir de noviembre, la compañía dice que este problema conocido no es un resultado esperado.
El problema no afecta a los clientes domésticos y los que no están en un dominio local. Además, no afecta a los entornos híbridos de Azure Active Directory ni a aquellos que no tienen servidores de Active Directory locales.
Microsoft está trabajando en una solución para este problema conocido y estima que habrá una solución disponible en las próximas semanas.
Redmond también ha abordado problemas similares de autenticación de Kerberos que afectan a los sistemas Windows causados por las actualizaciones de seguridad publicadas como parte del martes de parches de noviembre de 2020.