Microsoft ha lanzado actualizaciones fuera de banda para solucionar errores de autenticación de Kerberos en los controladores de dominio de Windows. Esto, debido a actualizaciones acumulativas de parches en el mes de noviembre.
Como es bien conocido, Kerberos es un protocolo para la autenticación de usuarios y recursos dentro de una red Windows, éste es utilizado por los controladores de dominio para proporcionar información sobre los privilegios de cada usuario y determinar a qué recursos tiene acceso.
Para los investigadores de Microsoft, este problema podría afectar cualquier autenticación Kerberos basada en Microsoft en un entorno empresarial, por lo que a continuación, veremos algunos escenarios que podrían verse afectados:
- Las conexiones de escritorio remoto que usan usuarios de dominio pueden fallar al conectarse.
- El inicio de sesión de un usuario del dominio puede fallar. Esto también podría afectar la autenticación de los Servicios de federación de Active Directory (AD FS).
- En equipos de seguridad es posible tener problemas de acceso a las carpetas compartidas en las estaciones de trabajo, tampoco a los recursos compartidos de archivos en los servidores.
- Las cuentas de servicio administradas de grupo utilizadas para servicios como Internet Information Services (IIS Web Server) pueden fallar en la autenticación.
- Impresiones que requieren autenticación de un usuario de dominio puede fallar.
Microsoft indicó que equipos de Windows utilizados en el hogar o equipos que no formen parte de un dominio local, no se ven afectados por este problema. Además, los entornos de Azure Active Directory que no son híbridos y no tienen ningún servidor de Active Directory local tampoco se ven afectados.
Recomendaciones:
Tomar en cuenta que las actualizaciones fuera de banda publicadas, solo están disponibles a través del Catálogo de actualizaciones de Microsoft y no se ofrecerán a través de Windows Update.
Para descargar e instalar las actualizaciones, los usuarios deben buscar manualmente los números de KB específicos en el Catálogo de actualizaciones de Microsoft, como:
- Windows Server 2022: KB5021656
- Windows Server 2019: KB5021655
- Windows Server 2016: KB5021654
Microsoft también lanzó actualizaciones independientes que se pueden importar a Windows Server Update Services (WSUS) y Microsoft Endpoint Configuration Manager:
- Windows Server 2012 R2: KB5021653
- Windows Server 2012: KB5021652
- Windows Server 2008 SP2: KB5021657
Importante:
La única plataforma afectada que aún espera una solución es Windows Server 2008 R2 SP1, se espera que esta salga en los próximos días.
Referencias:
- https://petri.com/microsoft-fix-kerberos-authentication-domain-controllers/
- https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-kerberos-auth-issues-in-emergency-updates/
- https://betanews.com/2022/11/18/microsoft-releases-emergency-patches-to-fix-kerberos-authentication-issues-on-multiple-versions-of-windows/
- https://www.scmagazine.com/news/vulnerability-management/microsoft-identifies-issues-with-kerberos-authentication-on-certain-windows-servers
- https://unaaldia.hispasec.com/2022/11/microsoft-soluciona-graves-problemas-de-autenticacion-en-windows-kerberos.html?utm_source=rss&utm_medium=rss&utm_campaign=microsoft-soluciona-graves-problemas-de-autenticacion-en-windows-kerberos