Microsoft, Ekim 2025 Windows güvenlik güncellemelerinin, Windows Şifreleme Hizmetlerini güçlendirmek için tasarlanan bir değişiklik nedeniyle akıllı kart kimlik doğrulaması ve sertifika sorunlarına neden olduğunu söylüyor.
Bu bilinen sorun, geniş dağıtım için tasarlanmış en son sürümler de dahil olmak üzere tüm Windows 10, Windows 11 ve Windows Server sürümlerini etkilemektedir.
Etkilenen kullanıcılar, belgeleri imzalayamama ve sertifika tabanlı kimlik doğrulama kullanan uygulamalardaki hatalardan, 32 bit uygulamalarda akıllı kartların CSP sağlayıcıları (Şifreleme Servis Sağlayıcısı) olarak tanınmamasına kadar çeşitli belirtiler gözlemleyebilir.
Ayrıca “geçersiz sağlayıcı türü belirtildi” ve “CryptAcquireCertificatePrivateKey hatası”nı da görebilirler. hata mesajları.
Microsoft, “Bu sorun, şifrelemeyi geliştirmek amacıyla RSA tabanlı akıllı kart sertifikaları için CSP (Şifreleme Servis Sağlayıcısı) yerine KSP’yi (Anahtar Depolama Sağlayıcısı) kullanmaya yönelik yakın zamanda yapılan bir Windows güvenlik iyileştirmesiyle bağlantılıdır” dedi.
“Ekim 2025 Windows güvenlik güncelleştirmesini yüklemeden önce Akıllı Kart Hizmetinin Sistem olay günlüklerinde Olay Kimliği 624’ün varlığını gözlemlerseniz, akıllı kartınızın bu sorundan etkilenip etkilenmeyeceğini tespit edebilirsiniz.”
Şirketin açıkladığı gibi, bu bilinen sorunlar, bu ayki güvenlik güncelleştirmelerinin, güvenlikle ilgili ve şifreleme işlemlerini yürüten yerleşik Windows hizmeti olan Windows Şifreleme Hizmetleri’ndeki bir güvenlik özelliğini atlama güvenlik açığını (CVE-2024-30098) gidermek için tasarlanmış bir güvenlik düzeltmesini varsayılan olarak otomatik olarak etkinleştirmesi nedeniyle ortaya çıkıyor.
Bu düzeltme, şifreleme işlemlerini Akıllı Kart uygulamasından yalıtmak ve saldırganların savunmasız sistemlerdeki dijital imzaları atlamak için bir SHA1 karma çarpışması oluşturmasını engellemek için DisableCapiOverrideForRSA kayıt defteri anahtarı değerinin 1’e ayarlanmasıyla etkinleştirilir.
Kimlik doğrulama sorunları yaşayanlar, aşağıdaki prosedürü kullanarak DisableCapiOverrideForRSA kayıt defteri anahtarını devre dışı bırakarak sorunu manuel olarak çözebilirler:
- Kayıt Defteri Düzenleyicisi’ni açın. Win + R tuşlarına basın, regedit yazın ve Enter tuşuna basın. Kullanıcı Hesabı Denetimi tarafından istenirse Evet’e tıklayın.
- Alt anahtara gidin. Şuraya gidin: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais.
- Anahtarı düzenleyin ve değeri ayarlayın. Calais’de DisableCapiOverrideForRSA anahtarının mevcut olup olmadığını kontrol edin. DisableCapiOverrideForRSA’ya çift tıklayın. Değer tarihi alanına şunu girin: 0.
- Kapatın ve yeniden başlatın. Kayıt Defteri Düzenleyicisini kapatın. Değişikliklerin etkili olması için bilgisayarı yeniden başlatın.
Ancak, Windows kayıt defterini düzenlemeden önce kayıt defterini yedeklemeniz gerektiğini unutmayın; çünkü herhangi bir hata sistem sorunlarına yol açabilir.
Bu, sorunu hafifletecek olsa da DisableCapiOverrideForRSA kayıt defteri anahtarı Nisan 2026’da kaldırılacak ve Microsoft, etkilenen kullanıcılara temel sorunu çözmek için uygulama satıcılarıyla birlikte çalışmalarını tavsiye etti.
Perşembe günü Microsoft, en son Windows güvenlik güncellemelerini yükledikten sonra IIS web sitelerini ve HTTP/2 localhost (127.0.0.1) bağlantılarını bozan bilinen başka bir sorunu düzeltti.
Aynı gün şirket, kullanıcıların sistemlerini Windows Update aracılığıyla Windows 11 24H2’ye yükseltmelerini engelleyen iki uyumluluk engelini daha kaldırdı.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.