الأخبار

بعض تحديثات Windows قد تضر بالفعل بأمانك


بعد نشر الجولة الأخيرة من تحديثات Patch Tuesday، تحقق Microsoft حاليًا في مشكلة معروفة تؤدي إلى فشل المصادقة لعدد من خدمات Windows.

وفقًا لـ BleepingComputer، بدأت شركة البرمجيات العملاقة في النظر في هذه المشكلات بعد أن بدأ مسؤولو Windows في مشاركة تقارير عن فشل بعض السياسات بعد تثبيت تحديثات التصحيح في مايو 2022.

أبلغ هؤلاء المسؤولون أنه بعد تثبيت التحديثات بدأوا في رؤية رسالة الخطأ التالية: "فشلت المصادقة بسبب عدم تطابق بيانات اعتماد المستخدم. إما أن اسم المستخدم المقدم لم يتم تعيينه إلى حساب موجود أو أن كلمة المرور غير صحيحة".

بينما تؤثر هذه المشكلة على أنظمة Windows الخاصة بالعميل والخادم بما في ذلك تلك التي تعمل بنظامي التشغيل Windows 11 و Windows Server 2022، تقول Microsoft إنه يتم تشغيلها فقط بعد تثبيت التحديثات على الخوادم التي يتم استخدامها كوحدات تحكم بالمجال domain controllers.

في مستند دعم، أوضحت الشركة أن حالات فشل المصادقة قد تحدث لعدد من الخدمات بما في ذلك خادم سياسة الشبكة (NPS) Network Policy Server، وخدمة التوجيه والوصول عن بُعد (RRAS) Remote access Service، وRadius، وبروتوكول المصادقة الموسعة (EAP) Extensible Authentication Protocol، وبروتوكول المصادقة القابل للتوسيع المحمي ( PEAP) Protected Extensible Authentication Protocol.
 
فشل المصادقة Failure to authenticate
في مستند دعم منفصل، دخلت Microsoft في مزيد من التفاصيل فيما يتعلق بمشاكل مصادقة الخدمة هذه من خلال توضيح أنها ناتجة عن تحديثات الأمان التي تعالج ثغرات تصعيد الامتيازات في Windows Kerberos وخدمات مجال Active Directory.

الثغرة الأمنية في خدمات مجال Active Directory من Microsoft (التي تم تتبعها كـ CVE-2022-26923) لها درجة عالية في CVSS تبلغ 8.8 وإذا تركت دون تصحيح، يمكن استغلالها من قبل المهاجم لرفع امتيازات الحساب إلى تلك الخاصة بمسؤول المجال. وفي الوقت نفسه، فإن الثغرة الأمنية في Windows Kerberos (التي تم تعقبها كـ CVE-2022-26931) لها أيضًا درجة عالية من CVSS تبلغ 7.5.

للتخفيف من مشكلات المصادقة هذه، تقترح Microsoft أن يقوم مسؤولو Windows بتعيين الشهادات يدويًا لحساب جهاز في Active Directory على الرغم من أنها تقترح أيضًا استخدام سجل Kerberos التشغيلي لمعرفة وحدة التحكم بالمجال التي فشلت في تسجيل الدخول.

ومع ذلك، قال أحد مسؤولي Windows الذين تحدثوا إلى BleepingComputer إن الطريقة الوحيدة التي تمكنوا من خلالها من حث بعض المستخدمين على تسجيل الدخول بعد تثبيت آخر تحديثات Patch الثلاثاء كانت عن طريق تعطيل مفتاح التسجيل StrongCertificateBindingEnforcement عن طريق تعيينه على 0. هذا يتم استخدام مفتاح التسجيل لتغيير وضع التنفيذ الخاص بمركز توزيع Kerberos (KDC) للشركة إلى وضع التوافق.

الآن بعد أن حققت Microsoft بنشاط في هذه المشكلات والتوصل إلى حلول بديلة، يجب أن يصل الإصلاح المناسب قريبًا أو على الأقل خلال تحديثات يوم الثلاثاء القادم في يونيو.