Gerçekleşen son Patch Tuesday güncellemelerinin akabinde pek çok Windows kullanıcısı, güncelleme kaynaklı şikayetler de bulunmaya başladı. BleepingComputer’a nazaran Microsoft, Windows yöneticilerinin son güncellemeleri yükledikten sonra kimi siyasetlerin başarısız olduğunu gösteren raporları paylaşmasının akabinde, aygıtınızın ve sizin güvenliğini tehlikeye atan kelam konusu meseleleri araştırmaya başladığı bildiriliyor. Üstelik güncellemelerin beraberinde getirdiği birinci sorun bu da değil. Geçtiğimiz günlerde sizlerle tekrar misal bir sorunu paylaşmıştık.

Bahsi geçen bu yeni sıkıntıya nazaran bir dizi Windows hizmetinde kimlik doğrulama sorunu yaşanıyor. Yapılan açıklamada mevcut meseleden yalnızca Windows 11 ve Windows Server 2022 çalıştıranlar dahil olmak üzere istemci ve sunucu Windows platformlarının ve sistemlerinin etkilendiği kaydedilirken; Microsoft, sorunun tesir alanı denetleyicileri olarak kullanılan sunucularda sadece güncellemeler yüklendikten sonra tetiklendiğini belirtiyor.

Windows yöneticileri, pek çok hizmette ‘kimlik doğrulama sorunları’ ile karşılaşıyor

Sorunla karşılaşan Windows yöneticileri, güncellemeleri yükledikten sonra “Kullanıcı kimlik bilgileri uyuşmazlığı nedeniyle kimlik doğrulama başarısız oldu. Sağlanan kullanıcı ismi mevcut bir hesapla eşleşmiyor yahut parola yanlış” biçiminde bir ihtar bildirisi aldıklarını bildiriyor. Microsoft ise yaptığı bir açıklamada Ağ Prensibi Sunucusu (NPS), Yönlendirme ve Uzaktan erişim Hizmeti (RRAS), Yarıçap, Genişletilebilir Kimlik Doğrulama Protokolü (EAP) ve Muhafazalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP) dahil olmak üzere bir dizi hizmet için kimlik doğrulama kusurlarının kelam konusu olabileceğini kaydediyor.

Başka bir açıklamada ise Microsoft, bu sorunların Windows Kerberos ve Active Directory Tesir Alanı Hizmetleri’ndeki ayrıcalıklı yükseltme güvenlik açıklarıyla alakalı güvenlik güncelleştirmelerinden kaynaklandığını söz ediyor. Buna nazaran Active Directory Tesir Alanı Hizmetlerindeki 8.8’lik yüksek tedbir derecesine sahip bir CVVS puanına sahip olan bu güvenlik açığının (CVE-2022-26923) düzeltilmemesi halinde bu, saldırganların bir hesabın ayrıcalıklarını bir tesir alanı yöneticisinin ayrıcalıklarını yükseltmek için kullanabileceği manasına geliyor.

Öte yandan Windows Kerberos’taki güvenlik açığı (CVE-2022-26931) ise 7.5’lik yüksek bir tedbir derecesine sahip CVSS puanı ile öne çıkıyor.

Peki ne yapabilirsiniz?

Microsoft, bu kimlik doğrulama meselelerini azaltmak ismine Windows yöneticilerinin sertifikaları Active Directory’deki bir makine hesabıyla manuel olarak eşleştirilmesini tavsiye ederken; hangi tesir alanı denetleyicisinin oturum açmada başarısız olduğunu görmek içinse Kerberos Operasyonel günlüğünün kullanılmasını öneriyor.

Buna karşılık bir Windows yöneticisi ise son güncellemeleri yükleyen kimi kullanıcıların oturum açmasının tek yolunun, StrongCertificateBindingEnforcement kayıt defteri anahtarını 0’a ayarlayarak devre dışı bırakmak olduğunu aktarıyor. Bu kayıt defteri anahtarı, şirketin Kerberos Dağıtım Merkezi’nin (KDC) zorlama modunu ‘Uyumluluk modu’ olarak değiştirmek için kullanılıyor.

Microsoft artık bu problemleri etkin olarak araştırmaya ve süreksiz tahliller sunmaya başladığına nazaran bu, uygun bir düzeltmenin yakında veya en azından Haziran’da gerçekleşecek olan yamayla gelebileceği manasına geliyor.