Microsoft, Nisan 2025 güvenlik güncellemelerinin bazı Windows Server 2025 etki alanı denetleyicilerinde kimlik doğrulama sorunlarına neden olduğunu söylüyor.
Etkilenen platformların listesi Windows Server 2016, Windows Server 2019, Windows Server 2022 ve en son sürüm olan Windows Server 2025’i içerir.
Bununla birlikte, şirketin daha fazla açıkladığı gibi, ev kullanıcılarının bu bilinen sorundan etkilenmesi olası değildir, çünkü etki alanı denetleyicileri tipik olarak iş ve kurumsal kimlik doğrulaması için kullanılır.
“8 Nisan 2025 (KB5055523) veya daha sonra yayınlanan Nisan Windows aylık güvenlik güncellemesini yükledikten sonra, Active Directory Etki Alanı Denetleyicileri (DC), Microsoft’un Active Directory-KeyCredentialLink Alanı aracılığıyla Key Trust’a dayanan sertifika tabanlı kimlik bilgilerini kullanarak sorunlar yaşayabilir.” Dedi.
“Bu, Windows Hello for Business (WHFB) temel güven ortamları veya cihaz genel anahtar kimlik doğrulamasını (Machine Pkinit olarak da bilinir) dağıtan ortamlarda kimlik doğrulama sorunlarına neden olabilir.”
Bu sorunlar, üçüncü taraf tek oturum açma (SSO) çözümleri, kimlik yönetim sistemleri ve akıllı kart kimlik doğrulama ürünleri dahil ancak bunlarla sınırlı olmamak üzere, bu iki kimlik doğrulama özelliğine dayanan yazılımları da etkileyebilir.
Etkilenen Auth protokolleri, Kerberos Kaynak Tabanlı Kısıtlı Delegasyon (RBKCD veya A2DF delegasyonu) veya Kerberos kısıtlı delegasyon (KCD veya A2D2 delegasyonu) aracılığıyla ilk kimlik doğrulama (Kerberos Pkinit) ve Sertifika Tabanlı Kullanıcı Delegasyonu (S4U) arasında Kerberos Public Anahtar Kriptografisi içerir.
CVE-2025-26647 Güvenlik Yamaları ile bağlantılı bilgi sorunları
Microsoft’a göre, bu sorunlar, kimlik doğrulamalı saldırganların Windows Kerberos’taki Windows’un yerini almasından bu yana, Windows C-Connect’i yerini alan Windows Kerberos’ta yerini alan Windows Kerberos’taki uygunsuz bir girdi validasyon zayıflığından yararlanabilmesine izin verebilen yüksek şiddetli bir güvenlik açığını azaltmak için tasarlanmış güvenlik önlemleriyle bağlantılıdır.
Redmond, “Bu güvenlik açığını başarıyla kullanan bir saldırgana, kilit dağıtım merkezi tarafından sertifikaya amaçlanandan çok daha fazla hak verilebilir.”
“Kimlik doğrulamalı bir saldırgan, bir Sertifika Otoritesinden (CA) Hedef Konu Anahtar Tanımlayıcısı (SKI) değerini içeren bir sertifika alarak bu güvenlik açığını kullanabilir. Saldırgan daha sonra bu sertifikayı TEMEL DAĞITIM Merkezinden (KDC) hedef kullanıcı için bir bilet bileti (TGT) almak için kullanabilir.”
Geçici bir çözüm olarak, etkilenen müşterilere HKEY_LOCAL_MACHINE \ System \ CurrentControlset \ Services \ KDC’de bu destek belgesinde ayrıntılı olarak açıklandığı gibi AllownTAuthPolicyByPass kayıt defteri değerini değiştirmeleri tavsiye edilir.
Geçen ay Microsoft, kimlik bilgisi koruması etkinleştirildiğinde Kerberos Pkinit Güvenlik Protokolünü kullanarak Windows 11 ve Windows Server 2025 cihazlarında kimlik doğrulama sorunlarına neden olan bilinen bir başka sorunu azalttı.
Redmond ayrıca, Kerberos’un oturum açma başarısızlıklarına ve alan denetleyicilerindeki diğer otançilere neden olan bir hatayı düzeltmek için Kasım 2022’de acil durum bant dışı (OOB) güncellemeleri yayınladı.
Bir yıl önce, Windows Server’daki Kerberos delegasyon senaryoları ve Windows 2000 ve sonraki sürümlerini çalıştıran etki alanına bağlı cihazları etkileyen benzer Kerberos auth sorunları ile ilgili kimlik doğrulama arızalarını ele aldı.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.