Microsofts Out-of-Band-Patch behebt Fehler in Windows AD

Microsoft hat einen Out-of-Band-Patch zur Behebung von Authentifizierungsfehlern unter Windows nach der Installation des Sicherheitsupdates vom 10. Mai 2022 auf Windows Server-Domänencontrollern veröffentlicht.

Das neue Update soll Authentifizierungsfehler beheben, die Dienste wie Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) und Protected Extensible Authentication Protocol (PEAP) betreffen.

„Es wurde ein Problem gefunden, das damit zusammenhängt, wie die Zuordnung von Zertifikaten zu Computerkonten durch den Domänencontroller gehandhabt wird“, erklärte Microsoft.

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat diese Woche Microsofts Korrektur für den Fehler CVE-2022-26925 von der Liste der bekannten Sicherheitslücken gestrichen, die Bundesbehörden innerhalb eines bestimmten Zeitrahmens schließen müssen.

Bei dem Fehler handelte es sich um eine LSA (Local Security Authority)-Spoofing-Schwachstelle. Einzelheiten des Fehlers wurden öffentlich bekannt gegeben und es gibt bereits Exploits für diesen Fehler.

Ein nicht authentifizierter Angreifer könnte „eine Methode auf der LSARPC-Schnittstelle aufrufen und den Domänencontroller dazu zwingen, sich mit NTLM beim Angreifer zu authentifizieren. Dieses Sicherheitsupdate erkennt anonyme Verbindungsversuche in LSARPC und lässt sie nicht zu“, so Microsoft.

Der Fehler hätte einen Schweregrad von 9.8, wenn er mit NTLM-Relay-Angriffen auf Active Directory Certificate Services (AD CS) gekoppelt ist, so Microsoft weiter.

Das Authentifizierungsproblem wurde erst nach der Installation des Updates vom 10. Mai auf Windows Server-Domänencontrollern verursacht. Zuvor angewandte Workarounds sind laut Microsoft nicht mehr erforderlich.

Der Out-of-Band-Patch von Microsoft behebt außerdem ein separates Problem, das durch die Updates KB5011831 oder später im April verursacht wurde und dazu führte, dass einige Microsoft Store-Anwendungen nicht mehr geöffnet werden konnten.

Die kumulativen Updates mit dem Out-of-Band-Fix sind für Windows Server 2022 (KB5015013), Windows Server, Version 20H2 (KB5015020), Windows Server 2019 (KB5015018) und Windows Server 2016 (KB5015019) verfügbar.

Microsoft hat auch eigenständige Updates für Windows Server 2012 R2 (KB5014986), Windows Server 2012 (KB5014991), Windows Server 2008 R2 SP1 (KB5014987), Windows Server 2008 SP2 (KB5014990) veröffentlicht.

Administratoren können die Updates manuell in Windows Server Update Services (WSUS) und Microsoft Endpoint Configuration Manager importieren.