Gerçekleşen son Patch Tuesday güncellemelerinin akabinde pek çok Windows kullanıcısı, güncelleme kaynaklı şikayetler de bulunmaya başladı. BleepingComputer’a nazaran Microsoft, Windows yöneticilerinin son güncellemeleri yükledikten sonra birtakım siyasetlerin başarısız olduğunu gösteren raporları paylaşmasının akabinde, aygıtınızın ve sizin güvenliğini tehlikeye atan kelam konusu meseleleri araştırmaya başladığı bildiriliyor. Üstelik güncellemelerin beraberinde getirdiği birinci sorun bu da değil. Geçtiğimiz günlerde sizlerle yeniden misal bir sorunu paylaşmıştık.
Bahsi geçen bu yeni probleme nazaran bir dizi Windows hizmetinde kimlik doğrulama sorunu yaşanıyor. Yapılan açıklamada mevcut problemden yalnızca Windows 11 ve Windows Server 2022 çalıştıranlar dahil olmak üzere istemci ve sunucu Windows platformlarının ve sistemlerinin etkilendiği kaydedilirken; Microsoft, sorunun tesir alanı denetleyicileri olarak kullanılan sunucularda yalnızca güncellemeler yüklendikten sonra tetiklendiğini belirtiyor.
Windows yöneticileri, pek çok hizmette ‘kimlik doğrulama sorunları’ ile karşılaşıyor
Sıkıntıyla karşılaşan Windows yöneticileri, güncellemeleri yükledikten sonra “Kullanıcı kimlik bilgileri uyuşmazlığı nedeniyle kimlik doğrulama başarısız oldu. Sağlanan kullanıcı ismi mevcut bir hesapla eşleşmiyor yahut parola yanlış” biçiminde bir ikaz iletisi aldıklarını bildiriyor. Microsoft ise yaptığı bir açıklamada Ağ Prensibi Sunucusu (NPS), Yönlendirme ve Uzaktan erişim Hizmeti (RRAS), Yarıçap, Genişletilebilir Kimlik Doğrulama Protokolü (EAP) ve Muhafazalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP) dahil olmak üzere bir dizi hizmet için kimlik doğrulama kusurlarının kelam konusu olabileceğini kaydediyor.
Öbür bir açıklamada ise Microsoft, bu meselelerin Windows Kerberos ve Active Directory Tesir Alanı Hizmetleri’ndeki ayrıcalıklı yükseltme güvenlik açıklarıyla alakalı güvenlik güncelleştirmelerinden kaynaklandığını söz ediyor. Buna nazaran Active Directory Tesir Alanı Hizmetlerindeki 8.8’lik yüksek tedbir derecesine sahip bir CVVS puanına sahip olan bu güvenlik açığının (CVE-2022-26923) düzeltilmemesi halinde bu, saldırganların bir hesabın ayrıcalıklarını bir tesir alanı yöneticisinin ayrıcalıklarını yükseltmek için kullanabileceği manasına geliyor.
Öte yandan Windows Kerberos’taki güvenlik açığı (CVE-2022-26931) ise 7.5’lik yüksek bir tedbir derecesine sahip CVSS puanı ile öne çıkıyor.
Pekala ne yapabilirsiniz?
Microsoft, bu kimlik doğrulama problemlerini azaltmak ismine Windows yöneticilerinin sertifikaları Active Directory’deki bir makine hesabıyla manuel olarak eşleştirilmesini tavsiye ederken; hangi tesir alanı denetleyicisinin oturum açmada başarısız olduğunu görmek içinse Kerberos Operasyonel günlüğünün kullanılmasını öneriyor.
Buna karşılık bir Windows yöneticisi ise son güncellemeleri yükleyen kimi kullanıcıların oturum açmasının tek yolunun, StrongCertificateBindingEnforcement kayıt defteri anahtarını 0’a ayarlayarak devre dışı bırakmak olduğunu aktarıyor. Bu kayıt defteri anahtarı, şirketin Kerberos Dağıtım Merkezi’nin (KDC) zorlama modunu ‘Uyumluluk modu’ olarak değiştirmek için kullanılıyor.
Microsoft artık bu meseleleri faal olarak araştırmaya ve süreksiz tahliller sunmaya başladığına nazaran bu, uygun bir düzeltmenin yakında yahut en azından Haziran’da gerçekleşecek olan yamayla gelebileceği manasına geliyor.