Microsoft corrige problemas de autenticación de Kerberos

Microsoft ha lanzado actualizaciones fuera de banda para solucionar errores de autenticación de Kerberos en los controladores de dominio de Windows. Esto, debido a actualizaciones acumulativas de parches en el mes de noviembre.

Como es bien conocido, Kerberos es un protocolo para la autenticación de usuarios y recursos dentro de una red Windows, éste es utilizado por los controladores de dominio para proporcionar información sobre los privilegios de cada usuario y determinar a qué recursos tiene acceso.

Para los investigadores de Microsoft, este problema podría afectar cualquier autenticación Kerberos basada en Microsoft en un entorno empresarial, por lo que a continuación, veremos algunos escenarios que podrían verse afectados:

  • Las conexiones de escritorio remoto que usan usuarios de dominio pueden fallar al conectarse.
  • El inicio de sesión de un usuario del dominio puede fallar. Esto también podría afectar la autenticación de los Servicios de federación de Active Directory (AD FS).
  • En equipos de seguridad es posible tener problemas de acceso a las carpetas compartidas en las estaciones de trabajo, tampoco a los recursos compartidos de archivos en los servidores.
  • Las cuentas de servicio administradas de grupo utilizadas para servicios como Internet Information Services (IIS Web Server) pueden fallar en la autenticación.
  • Impresiones que requieren autenticación de un usuario de dominio puede fallar.

Microsoft indicó que equipos de Windows utilizados en el hogar o equipos que no formen parte de un dominio local, no se ven afectados por este problema. Además, los entornos de Azure Active Directory que no son híbridos y no tienen ningún servidor de Active Directory local tampoco se ven afectados.

Recomendaciones:

Tomar en cuenta que las actualizaciones fuera de banda publicadas, solo están disponibles a través del Catálogo de actualizaciones de Microsoft y no se ofrecerán a través de Windows Update.

Para descargar e instalar las actualizaciones, los usuarios deben buscar manualmente los números de KB específicos en el Catálogo de actualizaciones de Microsoft, como:

  • Windows Server 2022: KB5021656
  • ​Windows Server 2019: KB5021655
  • Windows Server 2016: KB5021654

Microsoft también lanzó actualizaciones independientes que se pueden importar a Windows Server Update Services (WSUS) y Microsoft Endpoint Configuration Manager:

  • Windows Server 2012 R2: KB5021653
  • Windows Server 2012: KB5021652
  • Windows Server 2008 SP2: KB5021657

Importante:

La única plataforma afectada que aún espera una solución es Windows Server 2008 R2 SP1, se espera que esta salga en los próximos días.

Referencias: