Microsoft déploie des correctifs pour les problèmes liés au protocole d’authentification réseau Kerberos sur Windows Server après sa rupture par les mises à jour de novembre Patch Tuesday.
Comme nous signalé la semaine dernière, les mises à jour publiées le 8 novembre ou plus tard qui ont été installées sur Windows Server avec les fonctions du contrôleur de domaine de gérer les demandes de sécurité du réseau et de l’identité ont perturbé les capacités d’authentification Kerberos, allant des échecs de connexion des utilisateurs de domaine et de l’authentification des comptes de service gérés de groupe au bureau à distance les connexions ne se connectent pas.
Il y avait également d’autres problèmes, notamment l’impossibilité pour les utilisateurs d’accéder aux dossiers partagés sur les postes de travail et les connexions d’imprimante nécessitant l’échec de l’authentification de l’utilisateur du domaine.
“Ce problème pourrait affecter toute authentification Kerberos dans votre environnement”, écrivait Microsoft dans son tableau de bord Windows Health à l’époque, ajoutant que les ingénieurs tentaient de résoudre le problème.
En fin de semaine dernière, Microsoft Publié mises à jour d’urgence hors bande (OOB) pouvant être installées sur tous les contrôleurs de domaine, indiquant que les utilisateurs n’ont pas besoin d’installer d’autres mises à jour ou d’apporter des modifications à d’autres serveurs ou appareils clients pour résoudre le problème. En outre, toutes les solutions de contournement utilisées pour atténuer le problème ne sont plus nécessaires et doivent être supprimées, a écrit la société.
“Vous n’avez pas besoin d’appliquer une mise à jour précédente avant d’installer ces mises à jour cumulatives”, selon Microsoft. “Si vous avez déjà installé les mises à jour publiées le 8 novembre 2022, vous n’avez pas besoin de désinstaller les mises à jour concernées avant d’installer les mises à jour ultérieures, y compris la [OOB] mises à jour.”
Kerberos est utilisé pour authentifier les demandes de service entre plusieurs hôtes de confiance sur un réseau non fiable tel qu’Internet, en utilisant la cryptographie à clé secrète et un tiers de confiance pour authentifier les applications et les identités des utilisateurs. Il a été créé dans les années 1980 par des chercheurs du MIT.
Microsoft a commencé à utiliser Kerberos dans Windows 2000 et c’est maintenant l’outil d’autorisation par défaut du système d’exploitation. D’autres versions de Kerberos, gérées par le consortium Kerberos, sont disponibles pour d’autres systèmes d’exploitation, notamment Apple OS, Linux et Unix.
Le vendeur le 8 novembre Publié deux mises à jour pour renforcer la sécurité de Kerberos – ainsi que de Netlogon, un autre outil d’authentification – à la suite de deux vulnérabilités traquées comme CVE-2022-37967 et CVE-2022-37966. Ces mises à jour ont entraîné des problèmes d’authentification qui ont été résolus par les derniers correctifs.
Les utilisateurs de systèmes Windows avec le bogue ont parfois reçu un avis “Événement d’erreur Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14″ dans la section Système du journal des événements sur leur contrôleur de domaine avec un texte qui comprenait : ” Lors du traitement d’une requête AS pour le service cible le compte n’avait pas de clé appropriée pour générer un ticket Kerberos (la clé manquante a un ID de 1).”
Pour le package autonome des mises à jour OOB, les utilisateurs peuvent rechercher le numéro de base de connaissances dans le catalogue Microsoft Update et importer manuellement les correctifs dans Windows Server Update Services (voir les instructions ici) et Endpoint Configuration Manager (instructions ici).
Microsoft a publié des mises à jour cumulatives à installer sur les contrôleurs de domaine : Windows Server 2022 (KB5021656), Windows Serveur 2019 (KB5021655) et Windows Server 2016 (KB5021654). ®
