En son Yama Salı güncellemelerinin dağıtımını takiben, Microsoft şu anda bir dizi Windows hizmetinde kimlik doğrulama hatalarına yol açan bilinen bir sorunu araştırıyor.
Buna göre BleeBilgisayaryazılım devi, Windows yöneticilerinin Mayıs 2022 Salı Yaması güncellemelerini yükledikten sonra bazı politikaların başarısız olduğuna dair raporları paylaşmaya başladıktan sonra bu sorunları araştırmaya başladı.
Bu yöneticiler, güncellemeleri yükledikten sonra şu hata mesajını görmeye başladıklarını bildirdi: “Kullanıcı kimlik bilgileri uyuşmazlığı nedeniyle kimlik doğrulama başarısız oldu. Sağlanan kullanıcı adı mevcut bir hesapla eşleşmiyor veya parola yanlıştı.”
Bu sorun, Windows 11 ve Windows Server 2022 çalıştıranlar da dahil olmak üzere istemci ve sunucu Windows platformlarını ve sistemlerini etkilerken, Microsoft, yalnızca etki alanı denetleyicileri olarak kullanılan sunuculara güncellemeler yüklendikten sonra tetiklendiğini söylüyor.
İçinde destek belgesişirket, Ağ İlkesi Sunucusu (NPS), Yönlendirme ve Uzaktan Erişim Hizmeti (RRAS), Yarıçap, Genişletilebilir Kimlik Doğrulama Protokolü (EAP) ve Korumalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP) dahil olmak üzere bir dizi hizmet için kimlik doğrulama hatalarının olabileceğini açıkladı.
Kimlik doğrulama hatası
İçinde ayrı destek belgesiMicrosoft, Windows Kerberos ve Active Directory Etki Alanı Hizmetlerindeki ayrıcalık yükseltme güvenlik açıklarını ele alan güvenlik güncelleştirmelerinden kaynaklandığını açıklayarak bu hizmet kimlik doğrulama sorunlarıyla ilgili daha ayrıntılı bilgi verdi.
Microsoft’un Active Directory Etki Alanı Hizmetlerindeki güvenlik açığı (olarak izlenir) CVE-2022-26923) yüksek önem derecesi 8.8 olan CVSS puanına sahiptir ve yama uygulanmadan bırakılırsa, bir hesabın ayrıcalıklarını bir etki alanı yöneticisininkilere yükseltmek için bir saldırgan tarafından kullanılabilir. Bu arada, Windows Kerberos’taki güvenlik açığı ( CVE-2022-26931) ayrıca 7.5’lik yüksek bir ciddiyet CVSS puanına sahiptir.
Bu kimlik doğrulama sorunlarını azaltmak için Microsoft, Windows yöneticilerinin sertifikaları Active Directory’deki bir makine hesabıyla manuel olarak eşleştirmesini önerir, ancak ayrıca hangi etki alanı denetleyicisinin oturum açmada başarısız olduğunu görmek için Kerberos Operasyonel günlüğünün kullanılmasını önerir.
Yine de, konuştuğu bir Windows yöneticisi BleeBilgisayar En son Patch Salı güncellemelerinin yüklenmesinin ardından bazı kullanıcılarının oturum açmasını sağlamanın tek yolunun StrongCertificateBindingEnforcement kayıt defteri anahtarını 0’a ayarlayarak devre dışı bırakmak olduğunu söyledi. Bu kayıt defteri anahtarı, zorlama modunu değiştirmek için kullanılır. Şirketin Kerberos Dağıtım Merkezi’nden (KDC) Uyumluluk moduna.
Artık Microsoft bu sorunları aktif olarak araştırıyor ve geçici çözümler buluyor, uygun bir düzeltmenin yakında veya en azından Haziran’daki bir sonraki Salı Yaması güncellemeleri sırasında gelmesi bekleniyor.
Aracılığıyla BleeBilgisayar