Gerçekleşen son Patch Tuesday güncellemelerinin akabinde bir epey Windows kullanıcısı, güncelleme kaynaklı şikayetler de bulunmaya başladı. BleepingComputer’a bakılırsa Microsoft, Windows yöneticilerinin son güncellemeleri yükledikten daha sonra birtakım siyasetlerin başarısız olduğunu gösteren raporları paylaşmasının akabinde, aygıtınızın ve sizin güvenliğini tehlikeye atan kelam konusu meseleleri araştırmaya başladığı bildiriliyor. Üstelik güncellemelerin birlikteinde getirdiği birinci sorun bu da değil. Geçtiğimiz günlerde sizlerle bir daha misal bir sorunu paylaşmıştık.
Bahsi geçen bu yeni meseleye bakılırsa bir dizi Windows hizmetinde kimlik doğrulama sorunu yaşanıyor. Yapılan açıklamada mevcut sıkıntıdan yalnızca Windows 11 ve Windows Server 2022 çalıştıranlar dahil olmak üzere istemci ve sunucu Windows platformlarının ve sistemlerinin etkilendiği kaydedilirken; Microsoft, sorunun tesir alanı denetleyicileri olarak kullanılan sunucularda yalnızca güncellemeler yüklendikten daha sonra tetiklendiğini belirtiyor.
Windows yöneticileri, bir fazlaca hizmette ‘kimlik doğrulama sorunları’ ile karşılaşıyor
Problemle karşılaşan Windows yöneticileri, güncellemeleri yükledikten daha sonra “Kullanıcı kimlik ayrıntıları uyuşmazlığı niçiniyle kimlik doğrulama başarısız oldu. Sağlanan kullanıcı ismi mevcut bir hesapla eşleşmiyor yahut parola yanlış” formunda bir ikaz iletisi aldıklarını bildiriyor. Microsoft ise yaptığı bir açıklamada Ağ Unsuru Sunucusu (NPS), Yönlendirme ve Uzaktan erişim Hizmeti (RRAS), Yarıçap, Genişletilebilir Kimlik Doğrulama Protokolü (EAP) ve Muhafazalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP) dahil olmak üzere bir dizi hizmet için kimlik doğrulama yanlışlarının kelam konusu olabileceğini kaydediyor.
Öteki bir açıklamada ise Microsoft, bu problemlerin Windows Kerberos ve Active Directory Tesir Alanı Hizmetleri’ndeki ayrıcalıklı yükseltme güvenlik açıklarıyla alakalı güvenlik güncelleştirmelerinden kaynaklandığını tabir ediyor. Buna nazaran Active Directory Tesir Alanı Hizmetlerindeki 8.8’lik yüksek tedbir derecesine sahip bir CVVS puanına sahip olan bu güvenlik açığının (CVE-2022-26923) düzeltilmemesi halinde bu, saldırganların bir hesabın ayrıcalıklarını bir tesir alanı yöneticisinin ayrıcalıklarını yükseltmek için kullanabileceği manasına geliyor.
Öte yandan Windows Kerberos’taki güvenlik açığı (CVE-2022-26931) ise 7.5’lik yüksek bir tedbir derecesine sahip CVSS puanı ile öne çıkıyor.
Pekala ne yapabilirsiniz?
Microsoft, bu kimlik doğrulama sıkıntılarını azaltmak ismine Windows yöneticilerinin sertifikaları Active Directory’deki bir makine hesabıyla manuel olarak eşleştirilmesini tavsiye ederken; hangi tesir alanı denetleyicisinin oturum açmada başarısız olduğunu görmek içinse Kerberos Operasyonel günlüğünün kullanılmasını öneriyor.
Buna karşılık bir Windows yöneticisi ise son güncellemeleri yükleyen birtakım kullanıcıların oturum açmasının tek yolunun, StrongCertificateBindingEnforcement kayıt defteri anahtarını 0’a ayarlayarak devre dışı bırakmak olduğunu aktarıyor. Bu kayıt defteri anahtarı, şirketin Kerberos Dağıtım Merkezi’nin (KDC) zorlama modunu ‘Uyumluluk modu’ olarak değiştirmek için kullanılıyor.
Microsoft artık bu sıkıntıları faal olarak araştırmaya ve süreksiz tahliller sunmaya başladığına bakılırsa bu, uygun bir düzeltmenin yakında yahut en azından Haziran’da gerçekleşecek olan yamayla gelebileceği manasına geliyor.
Bahsi geçen bu yeni meseleye bakılırsa bir dizi Windows hizmetinde kimlik doğrulama sorunu yaşanıyor. Yapılan açıklamada mevcut sıkıntıdan yalnızca Windows 11 ve Windows Server 2022 çalıştıranlar dahil olmak üzere istemci ve sunucu Windows platformlarının ve sistemlerinin etkilendiği kaydedilirken; Microsoft, sorunun tesir alanı denetleyicileri olarak kullanılan sunucularda yalnızca güncellemeler yüklendikten daha sonra tetiklendiğini belirtiyor.
Windows yöneticileri, bir fazlaca hizmette ‘kimlik doğrulama sorunları’ ile karşılaşıyor
Problemle karşılaşan Windows yöneticileri, güncellemeleri yükledikten daha sonra “Kullanıcı kimlik ayrıntıları uyuşmazlığı niçiniyle kimlik doğrulama başarısız oldu. Sağlanan kullanıcı ismi mevcut bir hesapla eşleşmiyor yahut parola yanlış” formunda bir ikaz iletisi aldıklarını bildiriyor. Microsoft ise yaptığı bir açıklamada Ağ Unsuru Sunucusu (NPS), Yönlendirme ve Uzaktan erişim Hizmeti (RRAS), Yarıçap, Genişletilebilir Kimlik Doğrulama Protokolü (EAP) ve Muhafazalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP) dahil olmak üzere bir dizi hizmet için kimlik doğrulama yanlışlarının kelam konusu olabileceğini kaydediyor.
Öteki bir açıklamada ise Microsoft, bu problemlerin Windows Kerberos ve Active Directory Tesir Alanı Hizmetleri’ndeki ayrıcalıklı yükseltme güvenlik açıklarıyla alakalı güvenlik güncelleştirmelerinden kaynaklandığını tabir ediyor. Buna nazaran Active Directory Tesir Alanı Hizmetlerindeki 8.8’lik yüksek tedbir derecesine sahip bir CVVS puanına sahip olan bu güvenlik açığının (CVE-2022-26923) düzeltilmemesi halinde bu, saldırganların bir hesabın ayrıcalıklarını bir tesir alanı yöneticisinin ayrıcalıklarını yükseltmek için kullanabileceği manasına geliyor.
Öte yandan Windows Kerberos’taki güvenlik açığı (CVE-2022-26931) ise 7.5’lik yüksek bir tedbir derecesine sahip CVSS puanı ile öne çıkıyor.
Pekala ne yapabilirsiniz?
Microsoft, bu kimlik doğrulama sıkıntılarını azaltmak ismine Windows yöneticilerinin sertifikaları Active Directory’deki bir makine hesabıyla manuel olarak eşleştirilmesini tavsiye ederken; hangi tesir alanı denetleyicisinin oturum açmada başarısız olduğunu görmek içinse Kerberos Operasyonel günlüğünün kullanılmasını öneriyor.
Buna karşılık bir Windows yöneticisi ise son güncellemeleri yükleyen birtakım kullanıcıların oturum açmasının tek yolunun, StrongCertificateBindingEnforcement kayıt defteri anahtarını 0’a ayarlayarak devre dışı bırakmak olduğunu aktarıyor. Bu kayıt defteri anahtarı, şirketin Kerberos Dağıtım Merkezi’nin (KDC) zorlama modunu ‘Uyumluluk modu’ olarak değiştirmek için kullanılıyor.
Microsoft artık bu sıkıntıları faal olarak araştırmaya ve süreksiz tahliller sunmaya başladığına bakılırsa bu, uygun bir düzeltmenin yakında yahut en azından Haziran’da gerçekleşecek olan yamayla gelebileceği manasına geliyor.