Η Microsoft αναφέρει ότι οι ενημερώσεις ασφαλείας του Απριλίου 2025 προκαλούν ζητήματα ελέγχου ταυτότητας σε ορισμένους ελεγκτές τομέα Windows Server 2025.
Η λίστα των επιπτώσεων πλατφόρμες περιλαμβάνει Windows Server 2016, Windows Server 2019, Windows Server 2022 και την τελευταία έκδοση, Windows Server 2025.
Ωστόσο, όπως εξήγησε περαιτέρω η εταιρεία, οι οικιακοί χρήστες είναι απίθανο να επηρεαστούν από αυτό το γνωστό ζήτημα, καθώς οι ελεγκτές τομέα χρησιμοποιούνται συνήθως για έλεγχο ταυτότητας επιχειρήσεων και επιχειρήσεων.
“Μετά την εγκατάσταση της μηνιαίας ενημέρωσης ασφαλείας του Απριλίου των Windows, που κυκλοφόρησε στις 8 Απριλίου 2025 (KB5055523) ή αργότερα, οι ελεγκτές τομέα Directory Active Directory (DC) ενδέχεται να αντιμετωπίσουν θέματα κατά την επεξεργασία του Kerberos Logons ή αντιπροσωπείες χρησιμοποιώντας διαπιστευτήρια που βασίζονται σε πιστοποιητικά που βασίζονται στην βασική εμπιστοσύνη μέσω της Active Directory MSDS-Keycredentiallink Field”
“Αυτό μπορεί να οδηγήσει σε ζητήματα ελέγχου ταυτότητας στα Windows Hello For Business (WHFB) βασικά περιβάλλοντα εμπιστοσύνης ή περιβάλλοντα που έχουν αναπτύξει δημόσια έλεγχο ταυτότητας (επίσης γνωστό ως μηχανικό pkinit).”
Αυτά τα προβλήματα θα μπορούσαν επίσης να επηρεάσουν το λογισμικό που βασίζονται σε αυτά τα δύο χαρακτηριστικά για έλεγχο ταυτότητας, συμπεριλαμβανομένων, ενδεικτικά, σε λύσεις μονής σύνδεσης τρίτων μερών (SSO), συστήματα διαχείρισης ταυτότητας και προϊόντα ελέγχου ταυτότητας έξυπνων καρτών.
Τα προσβεβλημένα πρωτόκολλα AUTH περιλαμβάνουν την κρυπτογραφία δημόσιου κλειδιού Kerberos για τον αρχικό έλεγχο ταυτότητας (Kerberos Pkinit) και την εξουσιοδότηση υπηρεσιών για την εξουσιοδότηση (S4U) μέσω της αντιπροσωπείας KCD ή A2D2).
Θέματα Auth που συνδέονται με το CVE-2025-26647 Patches ασφαλείας
Σύμφωνα με τη Microsoft, αυτά τα θέματα είναι συνδέονται με μέτρα ασφαλείας Σχεδιασμένο για να μετριάσει μια ευπάθεια υψηλής διαχώσης που παρακολουθείται ως CVE-2025-26647 Αυτό μπορεί να αφήσει τους πιστοποιημένους επιτιθέμενους να κλιμακώσουν τα προνόμια εξ αποστάσεως, εκμεταλλευόμενοι μια ακατάλληλη αδυναμία επικύρωσης εισροών στα Windows Kerberos, τα οποία αντικαταστάθηκε NTLM ως το νέο προεπιλεγμένο πρωτόκολλο Auth για συσκευές συνδεδεμένες με τομέα σε όλες τις εκδόσεις των Windows που κυκλοφορούν από τα Windows 2000.
“Ένας επιτιθέμενος που εκμεταλλεύτηκε με επιτυχία αυτή την ευπάθεια θα μπορούσε να ανατεθεί πολύ μεγαλύτερα δικαιώματα από το βασικό κέντρο διανομής στο πιστοποιητικό από ό, τι προοριζόταν”, εξηγεί ο Redmond.
“Ένας πιστοποιημένος εισβολέας θα μπορούσε να εκμεταλλευτεί αυτή την ευπάθεια με την απόκτηση πιστοποιητικού που περιέχει την αξία του στοιχείου Key Identifier (SKI) από την Αρχή Πιστοποιητικών (CA).
Ως λύση, οι πελάτες που πληγούν συμβουλεύονται να αλλάξουν την αξία του μητρώου AllowntauthpolicyBypass στο HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlset \ Services \ KDC από το “2” σε “1” όπως περιγράφεται λεπτομερώς Αυτό το έγγραφο υποστήριξης.
Τον περασμένο μήνα, η Microsoft μείωσε ένα άλλο γνωστό ζήτημα που προκάλεσε προβλήματα ελέγχου ταυτότητας στα Windows 11 και στο Windows Server 2025 συσκευές χρησιμοποιώντας το πρωτόκολλο ασφαλείας Kerberos Pkinit όταν είναι ενεργοποιημένη η Guard Credential.
Ο Redmond κυκλοφόρησε επίσης ενημερώσεις έκτακτης ανάγκης (OOB) τον Νοέμβριο του 2022 για να διορθώσει ένα σφάλμα που προκαλεί αποτυχίες σύνδεσης Kerberos και άλλα προβλήματα Auth στους ελεγκτές τομέα.
Ένα χρόνο νωρίτερα, αφορούσε τις αποτυχίες ταυτότητας που σχετίζονται με τα σενάρια αντιπροσωπείας του Kerberos στο Windows Server και παρόμοια προβλήματα Auth Kerberos που επηρεάζουν τις συσκευές που συνδέονται με τον τομέα που εκτελούν Windows 2000 και αργότερα.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
