Das zum Mai-Patchday ausgelieferte Windows-Update sollte auch Schwachstellen in Windows Kerberos und den Active Directory Domain Services schließen. Es kann aber zu Authentifizierungsfehlern bei den Diensten NPS, RRA, EAP und PEAP führen, weil die zertifikatsbasierte Computerauthentifizierung am Domain-Controller abgebrochen wird.
Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat deshalb eine der Lücken (CVE-2022-26925) aus der Liste der bekannten Schwachstellen entfernt, wie Bleeping Computer berichtet. Denn ansonsten wären alle zivilen Bundesbehörden in den USA gezwungen, das fehlerhafte Update binnen drei Wochen einzuspielen.
Laut Microsoft treten die Probleme nur auf, wenn das Update auf Servern eingespielt wird, die als Domain Controller dienen. Auf Client-Geräten und Windows-Server-Geräten, die nicht als Domain-Controller genutzt werden, könne das Update bedenkenlos angewandt werden. Zwar arbeitet Microsoft daran, die Probleme zu beheben. Bis das gelungen ist, empfiehlt es aber dennoch Workarounds - bis hin zur manuellen Zuordnung von Zertifikaten.
Ärgerlich ist das auch, weil es sich bei der fehlerhaft geschlossenen Schwachstelle um eine handelt, von der bekannt ist, dass sie bereits ausgenutzt wurde. Bei solchen Lücken ist es eigentlich dringend angeraten, sie sobald wie möglich zu schließen. Ebenfalls ärgerlich ist, dass Microsoft mit dem Mai-Patchday insgesamt 74 Sicherheitslücken schließen wollte. Da sich aber nicht mehr nur Patches für einzelne Schwachstellen anwenden lassen, sondern Anwender nur die Wahl haben, alle in einem Update-Paket gelieferten Patches einzuspielen oder ganz darauf zu verzichten, bleibt auf Domain-Controllern nicht nur die Schwachstelle offen, die die Authentifizierungsprobleme verursacht, sondern auch alle 73 anderen.
"Die jüngsten Probleme bei der Active Directory-Authentifizierung im Zusammenhang mit dem Patch Tuesday im Mai 2022 verdeutlichen die Komplexität, die mit der Sicherung von AD verbunden ist", kommentiert Ran Harel, Principal Security Product Manager bei Semperis. Das Unternehmen ist auf die Absicherung von Windows Active Directory spezialisiert.
Im konkreten Fall handle es sich bei CVE-2022-26925 um eine Lücke, die es einem Angreifer ähnlich wie die 2021 als "PetitPotam" bekannt gewordene Lücke erlaubt, Nutzer eines privilegierten Accounts (also etwa Administratoren) zur Anmeldung zu zwingen. Die Anmeldeinformationen werden weitergeleitet und dann missbraucht, um sich für andere, bereits kompromittierte Nutzerkonten dauerhaft erhöht Privilegien zu verschaffen.