Windows-Sicherheitsupdates, die vergangene Woche im Zuge des Security-Patchdays verteilt wurden, haben auf einigen Systemen in Unternehmensumgebungen offenbar neue Probleme verursacht – und zwar bei der Authentifizierung mit Kerberos.
Microsoft hat in den letzten Tagen nachgebessert und Aktualisierungen für Windows Server 2012(/R2), 2016, 2019, 1903/1909 und 2004/20H2 bereitgestellt, die das Problem beheben sollen. Die Updates sind optional: Admins bekommen diese nicht via WSUS, sondern können sie bei Bedarf manuell aus Microsofts Update-Katalog herunterladen.
DCs und RODCs potenziell betroffen
Verantwortlich für die Probleme sind Updates, die die Lücke CVE-2020-17049, schließen sollten. Laut Microsofts Advisory zu CVE-2020-17049 ermöglichte diese Angreifern unter bestimmten Voraussetzungen die Umgehung von Sicherheitsmechanismen des Kerberos Key Distribution Center (KDC). Die Art, wie die Lücke ursprünglich beseitigt wurde, sorgte auf einigen Domain-Controllern (DCs) und Read-only Domain-Controllern (RODCs) für diverse Probleme bei der Kerberos-Authentifizierung und dem Erneuern der vom Kerberos-Dienst verwendeten Tickets.
Betroffene Versionen und Downloads
Weitere Details zu den Fixes sind nachfolgend verlinkten Supportartikeln für die betroffenen Windows Server-Versionen zu entnehmen. Microsoft empfiehlt darin auch, vor der Aktualisierung sicherzustellen, dass das aktuelle Servicing Stack Update (SSU) installiert wurde.
- Windows Server 2012: KB4594438 (Download Update)
- Windows Server 2012 R2: KB4594439 (Download Update)
- Windows Server 2016: KB4594441 (Download Update)
- Windows Server 2019: KB4594442 (Download Update)
- Windows Server version 1903/1909: KB4594443 (Download Update)
- Windows Server version 2004/20H2: KB4594440 (Download Update)
- Latest Servicing Stack Updates (Übersicht)
(Links entfernt)