Microsoft исправляет баг с аутентификацией Kerberos, возникающий после установки обновлений

Инженеры Microsoft работают над устранением багов, которые возникли у многих после установки ноябрьских обновлений, а именно патча для уязвимости CVE-2020-17049. После этого у контроллеров доменов предприятий наблюдаются проблемы с аутентификацией Kerberos. Напомню, что уже давно Kerberos заменил протокол NTLM и стал протоколом аутентификации по умолчанию для устройств, подключенных к домену, во всех версиях Windows выше Windows 2000.

Уязвимость CVE-2020-17049, исправленная в рамках ноябрьского «вторника обновлений», может использоваться удаленно и связана с работой Kerberos Constrained Delegation (KCD).

Теперь Microsoft сообщает, что после установки обновления KB4586781 на контроллерах домена (DC) и read-only контроллерах домена только (RODC) могут возникать проблемы с аутентификацией Kerberos. Это связано со способом,  которым уязвимость CVE-2020-17049 была исправлена.

Эксперты объясняют, что в реестре у PerformTicketSignature есть три значения параметра (0, 1 и 2), и администраторы могут столкнуться с разными багами при работе с каждым их них. К примеру, установка значения на «0» может спровоцировать проблемы с аутентификацией при использовании сценариев S4U (запланированные задачи, кластеризация и так далее). Если же значение установлено на «1» (по умолчанию), это может привести к тому, что не-Windows клиенты, будут проходить аутентификацию в доменах Windows с использованием Kerberos, и с аутентификацией возникнут проблемы.

По данным Microsoft, баги затрагивают только Windows Server, устройства с Windows 10 на борту и уязвимые приложения в корпоративных средах. Пока список затронутых платформ выглядит следующим образом:

Специалисты Microsoft заверили, что уже работают над исправлением багов и пообещали предоставить новые сведения, как только у них появится дополнительная информация.