Microsoft a signalé dimanche qu’après l’installation des mises à jour publiées sur le plus récent Patch mardi le 8 novembre, les équipes de sécurité pourraient avoir des problèmes avec l’authentification Kerberos sur les serveurs Windows avec le rôle de contrôleur de domaine.
Comme la plupart des autres systèmes d’exploitation majeurs, Microsoft utilise le KerberosName protocole d’authentification des demandes de service entre hôtes de confiance sur un réseau non fiable, le plus évident étant Internet. Avec Microsoft Windows, la prise en charge de Kerberos a été intégrée au macOS d’AppleFreeBSD et Linux.
Dans un article de blog, Les chercheurs de Microsoft ont déclaré que le problème pourrait affecter toute authentification Kerberos basée sur Microsoft dans un environnement d’entreprise. Certains des scénarios susceptibles d’être affectés sont les suivants :
- La connexion de l’utilisateur de domaine peut échouer. Cela peut également affecter l’authentification des services de fédération Active Directory (AD FS).
- Les comptes de service gérés de groupe (gMSA) utilisés pour des services tels que les services d’information Internet (serveur Web IIS) peuvent ne pas s’authentifier.
- Les connexions Bureau à distance utilisant des utilisateurs de domaine peuvent échouer.
- Les équipes de sécurité peuvent ne pas être en mesure d’accéder aux dossiers partagés sur les postes de travail et aux partages de fichiers sur les serveurs.
- L’impression qui nécessite une authentification d’utilisateur de domaine peut échouer.
Microsoft a ajouté que les appareils Windows utilisés à la maison par les consommateurs ou les appareils ne faisant pas partie d’un domaine sur site ne sont pas affectés par ce problème. De plus, les environnements Azure Active Directory qui ne sont pas hybrides et qui n’ont pas de serveurs Active Directory locaux ne sont pas affectés. Microsoft travaille sur une résolution et estime qu’ils publieront une solution dans les semaines à venir.
Il semble que Microsoft ait apporté d’importants changements de renforcement de la sécurité dans cette mise à jour, mais a par inadvertance interrompu certains scénarios d’authentification clés en même temps, ce qui a entraîné des échecs de connexion et des échecs de connexions RDP – même pour les versions les plus récentes du système d’exploitation, y compris Windows Server 2022, a déclaré Phil Neray. , vice-président de la stratégie de cyberdéfense chez CardinalOps.
“Les problèmes ne s’appliquent pas aux environnements Azure Active Directory qui ne sont pas hybrides et ne disposent pas de serveurs Active Directory sur site, mais cela signifie toujours qu’ils pourraient affecter la majorité des organisations”, a déclaré Neray. “Attendre plusieurs semaines pour un correctif pourrait être problématique, cependant, je suppose que les problèmes sont profondément enfouis dans un code complexe, donc Microsoft est probablement prudent avec son estimation de temps.”
Andrew Barratt, vice-président de Coalfire, a déclaré que la migration vers Kerberos n’est pas à l’épreuve des balles – mais les ramifications de la rupture d’un protocole d’authentification pourraient être très répandues. Barratt a déclaré que bien qu’il existe des hacks de registre disponibles qui reviennent à un cryptage moins fort, ce serait littéralement le contraire de ce que Microsoft essayait de réaliser avec le correctif en premier lieu.
“Il est probable que cela puisse se manifester par un échec d’authentification ou des demandes de service échouées au sein d’un réseau et devenir assez difficile à dépanner”, a déclaré Barratt. “L’autre danger est que le personnel de support technique qui se brûle d’avoir à résoudre ce problème peut également à l’avenir ignorer les logiciels malveillants qui présentent un type de symptôme similaire.”
Mike Parkin, ingénieur technique senior chez Vulcan Cyber, a déclaré que c’est un fait malheureux que parfois les correctifs cassent des choses ou introduisent de nouvelles vulnérabilités, et “casser des choses” semble être ce qui s’est passé ici pour certaines personnes après le déploiement du dernier déploiement de Microsoft.
“Les configurations concernées semblent quelque peu limitées, mais ce n’est pas une consolation pour les organisations qui vivent cela dans leur environnement”, a déclaré Parkin. “J’espère que Microsoft résoudra ce problème rapidement et ne prendra pas ‘quelques semaines’ complètes pour résoudre le problème.”
