Microsoft: новые обновления безопасности вызывают проблемы с аутентификацией Windows Server

37
Microsoft выпускает исправления для дефекта Azure, позволяющего осуществлять атаки RCE

Microsoft заявляет, что пользователи могут столкнуться с проблемами аутентификации на контроллерах домена (DC) под управлением Windows Server. после установки обновлений безопасности, выпущенных во вторник ноябрьских исправлений.

Эти проблемы проверки подлинности влияют на системы под управлением Windows Server 2019 и более ранних версий с определенными сценариями делегирования Kerberos.

В список уязвимых платформ также входят Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 и Windows Server 2008 SP2.

Проблемы с проверкой подлинности не позволяют конечным пользователям в локальной или гибридной среде Azure Active Directory выполнять вход в службы или приложения с помощью единого входа (SSO).

«После установки ноябрьских обновлений безопасности [..] у вас могут быть сбои аутентификации на серверах, связанных с билетами Kerberos, приобретенными через S4u2self», — поясняет Microsoft на панели мониторинга работоспособности Windows.

«Сбои аутентификации являются результатом билетов Kerberos, полученных через S4u2self и используемых в качестве билетов-свидетельств для передачи протокола на делегирование серверным службам, которые не прошли проверку подписи».

Полный список исходных обновлений для этой известной проблемы Windows Server включает:

  • KB5007206  — Windows Server 2019
  • KB5007192  — Windows Server 2016
  • KB5007247  — Windows Server 2012 R2
  • KB5007260  — Windows Server 2012
  • KB5007236  — Windows Server 2008 R2 с пакетом обновления 1 (SP1)
  • KB5007263  — Windows Server 2008 с пакетом обновления 2 (SP2)

Microsoft заявила, что работает над решением этой проблемы с Windows Server, и рассчитывает, что вскоре предоставит решение.

Проверка подлинности Kerberos завершится ошибкой в ​​сценариях делегирования Kerberos, которые полагаются на интерфейсную службу для получения билета Kerberos от имени пользователя для доступа к внутренней службе. Важные сценарии делегирования Kerberos, в которых клиент Kerberos предоставляет интерфейсную службу с билетом свидетельства, не затрагиваются. На чистые среды Azure Active Directory эта проблема не влияет. — Microsoft

Затронутые среды

По данным Microsoft, уязвимые среды могут использовать одну из следующих служб или приложений:

  • Интегрированная проверка подлинности Windows (IWA) прокси приложения Azure Active Directory (AAD) с использованием ограниченного делегирования Kerberos (KCD)
  • Прокси веб-приложения (WAP) Встроенная проверка подлинности Windows (IWA) Единый вход (SSO)
  • Федеративные службы Active Directory (ADFS)
  • Microsoft SQL Server
  • Информационные службы Интернета (IIS) с использованием встроенной проверки подлинности Windows (IWA)
  • Промежуточные устройства, включая балансировщики нагрузки, выполняющие делегированную аутентификацию

Пользователи могут увидеть одну или несколько из следующих ошибок в затронутых системах:

  • Средство просмотра событий может отображать событие 18 Microsoft-Windows-Kerberos-Key-Distribution-Center, зарегистрированное в журнале системных событий.
  • Ошибка 0x8009030c с текстовым прокси-сервером веб-приложения обнаружена непредвиденная информация регистрируется в журнале событий прокси-сервера приложения Azure AD в событии 12027 соединителя прокси-сервера приложения Microsoft-AAD
  • Сетевые трассировки содержат следующую сигнатуру, подобную следующей:
    • 7281 24:44 (644) 10.11.2.12 .contoso.com KerberosV5 KerberosV5: Область запроса TGS: CONTOSO.COM Sname: http / xxxxx-xxx.contoso.com
    • 7282 7290 (0). CONTOSO.COM

Последнее обновление 9 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии