Microsoft: แพตซ์ล่าสุดในเดือนพฤษภาคมของ Windows อาจทำให้เกิดปัญหาการ authentication บน AD

Microsoft กำลังตรวจสอบปัญหาเกี่ยวกับ authentication failures สำหรับ Windows services บางรายการ หลังจากติดตั้งอัปเดตใน Patch Tuesday ช่วงเดือนพฤษภาคม 2022 โดยปัญหานี้เกิดขึ้นหลังจากผู้ดูแลระบบ Windows เริ่มรายงานเกี่ยวกับ policies failing หลังจากมีการติดตั้งการอัปเดตด้านความปลอดภัยในเดือนนี้ ซึ่งทำให้การตรวจสอบสิทธิ์ไม่สำเร็จเนื่องจากข้อมูล credentials ของผู้ใช้ไม่ตรงกัน ไม่ว่าจะเป็นชื่อผู้ใช้ที่ระบุไม่ตรงกับบัญชีที่มีอยู่ หรือรหัสผ่านไม่ถูกต้อง

ปัญหาดังกล่าวส่งผลกระทบต่อ Windows platforms ของไคลเอนต์ และเซิร์ฟเวอร์ และระบบที่ใช้ Windows ทุกเวอร์ชัน รวมถึงเวอร์ชันล่าสุดของ Windows 11 และ Windows Server 2022

Microsoft กล่าวว่าปัญหาดังกล่าวจะเกิดขึ้นหลังจากติดตั้งการอัปเดตบนเซิร์ฟเวอร์ที่ใช้เป็น domain controllers เท่านั้น การอัปเดตจะไม่ส่งผลกระทบกับ Windows บน client และ Windows Servers ที่ไม่ใช่ domain controllers

Microsoft กล่าวว่าหลังจากติดตั้งการอัปเดตบน domain controllers ที่เผยแพร่เมื่อวันที่ 10 พฤษภาคม 2022 อาจจะพบการ authentication failures บนเซิร์ฟเวอร์หรือไคลเอนต์ สำหรับบริการต่างๆ เช่น Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) และ Protected Extensible Authentication Protocol (PEAP) และพบปัญหาที่เกี่ยวข้องกับวิธีการจัดการ mapping of certificates กับบัญชีเครื่องโดยตัว domain controllers โดย Microsoft กำลังตรวจสอบปัญหาดังกล่าว และจะทำการอัปเดตเพื่อแก้ไขปัญหาในรอบถัดไป

Microsoft อธิบายในรายงานว่าปัญหาของ service authentication ที่กำลังเกิดขึ้นอยู่นี้ เกิดจากการอัปเดตความปลอดภัยที่มีหมายเลข CVE-2022-26931 และ CVE-2022-26923 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ใน Windows Kerberos และ Active Directory Domain Services และอีกช่องโหว่คือ CVE-2022-26923 ที่ทำให้ผู้โจมตีที่เข้าถึงบัญชีที่มีสิทธิ์ต่ำสามารถยกระดับสิทธิ์เป็น domain admin ได้

เพื่อแก้ไขปัญหาที่เกิดขึ้นในครั้งนี้ Microsoft แนะนำให้ mapping certificate กับ machine account ใน Active Directory ด้วยตนเอง จนกว่าจะมีการอัปเดตอย่างเป็นทางการ ถ้าหากวิธีการดังกล่าวยังไม่สามารถแก้ไขปัญหาได้ สามารถดูรายละเอียดใน 'KB5014754—Certificate-based authentication changes on Windows domain controllers' เพื่อแก้ไขปัญหาอื่น ๆ ที่เป็นไปได้ ในส่วนของ SChannel registry key section

Microsoft กล่าวว่าการอัปเดตในเดือนพฤษภาคม 2565 จะตั้งค่า StrongCertificateBindingEnforcement registry key โดยอัตโนมัติ ซึ่งจะเปลี่ยน enforcement mode ของ Kerberos Distribution Center (KDC) ไปเป็น Compatibility mode (ควรอนุญาตให้มีการตรวจสอบสิทธิ์ทั้งหมด เว้นแต่ certificate จะเก่ากว่าผู้ใช้) อย่างไรก็ตาม ผู้ดูแลระบบ Windows ให้ข้อมูลกับ BleepingComputer ว่าวิธีเดียวที่จะทำให้ผู้ใช้บางคนเข้าสู่ระบบด้วยการอัปเดตครั้งนี้ได้คือปิดใช้งาน StrongCertificateBindingEnforcement key โดยตั้งค่าเป็น 0 และหากไม่พบคีย์ใน registry ให้สร้างขึ้นมาใหม่ทั้งหมดโดยใช้ REG_DWORD Data Type และตั้งค่าให้เป็น 0 เพื่อปิดใช้งาน certificate mapping check ถึงแม้ว่า Microsoft จะไม่แนะนำ แต่ก็เป็นวิธีเดียวที่จะอนุญาตให้ผู้ใช้ทั้งหมดเข้าสู่ระบบได้

ที่มา : bleepingcomputer.