0
0
Um patch do Windows 10 pode estar causando problemas de autenticação em dispositivos comerciais windows e não windows.
A Microsoft está trabalhando em uma correção para um bug no patch da semana passada para uma vulnerabilidade de bypass no recurso de segurança do Kerberos Key Distribution Center (KDC).
A Microsoft sinalizou o problema que afeta os sistemas que instalaram o patch para o bug CVE-2020-17049, uma das 112 vulnerabilidades abordadas na atualização de terça-feira do Patch de novembro de 2020.
Kerberos é um protocolo de autenticação cliente-servidor usado em vários sistemas operacionais, incluindo o Windows. A Microsoft tentou corrigir um bypass no Kerberos KDC, um recurso que lida com bilhetes para criptografar mensagens entre um servidor e um cliente.
“Depois de instalar o KB4586786 em controladores de domínio (DCs) e controladores de domínio somente leitura (RODCs) em seu ambiente, você pode encontrar problemas de autenticação do Kerberos”, observa a Microsoft em sua página de problemas conhecido para todas as versões suportadas do Windows 10.
“Isso é causado por um problema na forma como o CVE-2020-17049 foi abordado nessas atualizações.”
O patch do buggy afeta apenas servidores do Windows, dispositivos windows 10 e aplicativos em ambientes corporativos, de acordo com a Microsoft.
A Microsoft abordou a vulnerabilidade alterando a forma como o KDC valida os bilhetes de serviço usados com o KCD (Kerberos Constrained Delegation, delegação restrita) porque houve um problema de bypass na maneira como o KDC determina se um token de serviço pode ser usado para a delegação do KCD.
A Microsoft explica que existem três valores de configuração de registro – 0, 1 e 2 – para o PerformTicketSignature controlá-lo, mas os administradores podem encontrar problemas diferentes a cada configuração.
“Definir o valor para 0 pode causar problemas de autenticação ao usar cenários S4U, como tarefas programadas, clustering e serviços, por exemplo, aplicativos de linha de negócios”, afirma a Microsoft.
Além disso, a configuração de valor padrão de 1 pode fazer com que clientes não-Windows se adunizem nos domínios do Windows usando o Kerberos para experimentar problemas de autenticação.
Com essa configuração, os administradores também podem ver falhas em “referências entre reinos cruzados” no Windows e dispositivos não-Windows para bilhetes de referência Kerberos passando por DCs que não receberam a atualização do Patch Tuesday.
“Estamos trabalhando em uma resolução e forneceremos uma atualização assim que mais informações estiverem disponíveis”, observa a Microsoft.
A Microsoft também revisou sua orientação para a implantação da atualização. Recomendou que os administradores localizem o subtítlo do registro KDC e, se ele existir no sistema, certifique-se de que ele está definido como 1. Em seguida, os administradores precisam completar a implantação para todos os DCs – e DCs somente leitura.
“Observe que seguir nossa orientação original de usar a configuração 0 pode causar problemas conhecidos com o recurso S4USelf do Kerberos. Estamos trabalhando para resolver essa questão conhecida”, diz.
FONTE: ZDNET