Bazı Windows Güncellemeleri Güvenliğinize Zarar Verebilir

Yama güncellemelerinin son turu, kimlik doğrulama hatalarına neden oluyor.

En son Yama Salı güncellemelerinin dağıtımını takiben, Microsoft şu anda bir dizi Windows hizmetinde kimlik doğrulama hatalarına yol açtığı bilinen bir sorunu araştırıyor.

BleepingComputer’a göre yazılım devi, Windows yöneticilerinin Mayıs 2022 Salı Yaması güncellemelerini yükleyince bazı politikaların başarısız olduğuna dair raporları paylaşmaya başladıktan sonra bu sorunları araştırmaya başladı.

Bu yöneticiler, güncellemeleri yükledikten sonra şu hata mesajını görmeye başladıklarını bildirdi: “Kullanıcı kimlik bilgileri uyuşmazlığı nedeniyle kimlik doğrulama başarısız oldu. Sağlanan kullanıcı adı mevcut bir hesapla eşleşmiyor veya parola yanlış.”

Bu sorun, Windows 11 ve Windows Server 2022 çalıştıranlar da dahil olmak üzere istemci ve sunucu Windows platformlarını ve sistemlerini etkilerken; Microsoft, yalnızca etki alanı denetleyicileri olarak kullanılan sunuculara güncellemeler yüklendikten sonra tetiklendiğini söylüyor.

Bir destek belgesinde şirket, Ağ İlkesi Sunucusu (NPS), Yönlendirme ve Uzaktan erişim Hizmeti (RRAS), Yarıçap, Genişletilebilir Kimlik Doğrulama Protokolü (EAP) ve Korumalı Genişletilebilir Kimlik Doğrulama Protokolü ( PEAP) hizmetleri açıkladı.

Kimlik doğrulanamadı

Microsoft, ayrı bir destek belgesinde bu hizmet kimlik doğrulama sorunlarının Windows Kerberos ve Active Directory Etki Alanı Hizmetleri’ndeki yükseltme güvenlik açıklarını ele alan güvenlik güncelleştirmelerinden kaynaklandığını açıklayarak bu sorunlarla ilgili daha ayrıntılı bilgi verdi.

Microsoft’un Active Directory Etki Alanı Hizmetleri’ndeki (CVE-2022-26923 olarak izlenir) güvenlik açığı, 8.8’lik yüksek önem derecesine sahip bir CVSS puanına sahiptir. Ve yama uygulanmadan bırakılırsa, bir saldırgan tarafından bir hesabın ayrıcalıklarını bir etki alanı yöneticisininkilere yükseltmek için kullanılabilir.

Bu arada, Windows Kerberos’taki (CVE-2022-26931 olarak izlenen) güvenlik açığı da 7.5’lik yüksek bir önem derecesine sahip CVSS puanına sahiptir.

Bu kimlik doğrulama sorunlarını azaltmak için Microsoft, Windows yöneticilerinin sertifikaları Active Directory’deki bir makine hesabıyla manuel olarak eşleştirmesini önerir. Ayrıca, hangi etki alanı denetleyicisinin oturum açmada başarısız olduğunu görmek için Kerberos Operasyonel günlüğünün kullanılmasını önerir.

BleepingComputer ile konuşan bir Windows yöneticisi, en son Yama Salı güncellemelerinin yüklenmesinin ardından bazı kullanıcılarının oturum açmasını sağlamanın tek yolunun StrongCertificateBindingEnforcement kayıt defteri anahtarını 0’a ayarlayarak devre dışı bırakmak olduğunu söyledi. Bu kayıt defteri anahtarı, şirketin Kerberos Dağıtım Merkezi’nin (KDC) zorlama modunu Uyumluluk moduna değiştirmek için kullanılır.

Artık Microsoft bu sorunları aktif olarak araştırıyor ve geçici çözümler buluyor. Uygun bir düzeltmenin yakında veya en azından Haziran’daki bir sonraki Salı Yaması güncellemeleri sırasında gelmesi bekleniyor.