Microsoft ha publicado una solución para el problema de mapeo de certificados, pero muchos administradores han optado por revertir los cambios para evitar interrupciones operativas.
Según las discusiones en línea, muchas empresas están experimentando problemas, en particular las que instalaron las actualizaciones en servidores Windows que también cumplen las funciones de controlador de dominio (DC) y Servicios de Certificación de Active Directory (ACDS). Algunos administradores se quejaron de que las políticas de Network Policy Server (NPS) fallaban, generando el error “authentication failed owing to a user credential mismatch”.
Según los informes, la eliminación de la actualización KB5013941 resolvió el problema. Un usuario señaló que en su configuración, DC y NPS se ejecutan en servidores distintos, y después de probar las actualizaciones en cada uno, concluyó que los servidores NPS pueden ser parcheados pero los servidores DC pueden requerir que la actualización sea revertida.
Steve Syfuhs, ingeniero de software senior de Microsoft especializado en encriptación, autenticación e identificación, confirmó el problema, admitiendo que está siendo reportado por un gran número de administradores de TI. “Después de instalar las actualizaciones publicadas el 10 de mayo de 2022 para los controladores de dominio, pueden producirse fallos de autenticación en el servidor o en el cliente para servicios como Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) y Protected Extensible Authentication Protocol (PEAP)”, dijo Syfuhs, agregando que “se ha identificado un problema con la forma en que el controlador de dominio maneja la asignación de certificados a las cuentas de máquinas”.
Más información sobre los martes de parches de Microsoft.
Microsoft parcheó el martes, como parte de sus actualizaciones de seguridad mensuales, dos vulnerabilidades de escalada de privilegios de “alta gravedad”, identificadas como CVE-2022-26931 y CVE-2022-26923. Esta es la causa de los problemas a los que se enfrentan actualmente los administradores de Windows Server.
A principios de este año, un gran número de administradores de Windows Server optaron por renunciar a los parches de seguridad de Microsoft, alegando varios problemas que causaban un trastorno operativo tan grave que consideraban preferible seguir sin protección de los parches de seguridad que actualizar e implementar las correcciones.
Microsoft ha publicado una propuesta de mitigación para los administradores que deseen eludir el problema de los certificados, pero que no deseen revertir la versión más reciente, ya que así quedarían en cierta indefensión. Microsoft declaró que la solución incluye la asignación manual de certificados a una cuenta de máquina en Active Directory.