Windows’un Son Güncellemesi ‘Kimlik Doğrulama’ Sorunlarına Sebep Oluyor: Bilgisayarınız Tehlike Altına Olabilir!

Gerçekleşen son Patch Tuesday güncellemelerinin ardından pek çok Windows kullanıcısı, güncelleme kaynaklı şikayetler de bulunmaya başladı. BleepingComputer’a göre Microsoft, Windows yöneticilerinin son güncellemeleri yükledikten sonra bazı politikaların başarısız olduğunu gösteren raporları paylaşmasının ardından, cihazınızın ve sizin güvenliğini tehlikeye atan söz konusu sorunları araştırmaya başladığı bildiriliyor. Üstelik güncellemelerin beraberinde getirdiği ilk sorun bu da değil. Geçtiğimiz günlerde sizlerle yine benzer bir sorunu paylaşmıştık.

Bahsi geçen bu yeni soruna göre bir dizi Windows hizmetinde kimlik doğrulama sorunu yaşanıyor. Yapılan açıklamada mevcut sorundan sadece Windows 11 ve Windows Server 2022 çalıştıranlar dahil olmak üzere istemci ve sunucu Windows platformlarının ve sistemlerinin etkilendiği kaydedilirken; Microsoft, sorunun etki alanı denetleyicileri olarak kullanılan sunucularda sadece güncellemeler yüklendikten sonra tetiklendiğini belirtiyor. 

Windows yöneticileri, pek çok hizmette ‘kimlik doğrulama sorunları’ ile karşılaşıyor

Sorunla karşılaşan Windows yöneticileri, güncellemeleri yükledikten sonra “Kullanıcı kimlik bilgileri uyuşmazlığı nedeniyle kimlik doğrulama başarısız oldu. Sağlanan kullanıcı adı mevcut bir hesapla eşleşmiyor veya parola yanlış” şeklinde bir uyarı mesajı aldıklarını bildiriyor. Microsoft ise yaptığı bir açıklamada Ağ İlkesi Sunucusu (NPS), Yönlendirme ve Uzaktan erişim Hizmeti (RRAS), Yarıçap, Genişletilebilir Kimlik Doğrulama Protokolü (EAP) ve Korumalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP) dahil olmak üzere bir dizi hizmet için kimlik doğrulama hatalarının söz konusu olabileceğini kaydediyor. 

Başka bir açıklamada ise Microsoft, bu sorunların Windows Kerberos ve Active Directory Etki Alanı Hizmetleri’ndeki ayrıcalıklı yükseltme güvenlik açıklarıyla alakalı güvenlik güncelleştirmelerinden kaynaklandığını ifade ediyor. Buna göre Active Directory Etki Alanı Hizmetlerindeki 8.8’lik yüksek önlem derecesine sahip bir CVVS puanına sahip olan bu güvenlik açığının (CVE-2022-26923) düzeltilmemesi halinde bu, saldırganların bir hesabın ayrıcalıklarını bir etki alanı yöneticisinin ayrıcalıklarını yükseltmek için kullanabileceği anlamına geliyor.

Öte yandan Windows Kerberos’taki güvenlik açığı (CVE-2022-26931) ise 7.5’lik yüksek bir önlem derecesine sahip CVSS puanı ile öne çıkıyor. 

Peki ne yapabilirsiniz?

Microsoft, bu kimlik doğrulama sorunlarını azaltmak adına Windows yöneticilerinin sertifikaları Active Directory’deki bir makine hesabıyla manuel olarak eşleştirilmesini tavsiye ederken; hangi etki alanı denetleyicisinin oturum açmada başarısız olduğunu görmek içinse Kerberos Operasyonel günlüğünün kullanılmasını öneriyor. 

Buna karşılık bir Windows yöneticisi ise son güncellemeleri yükleyen bazı kullanıcıların oturum açmasının tek yolunun, StrongCertificateBindingEnforcement kayıt defteri anahtarını 0’a ayarlayarak devre dışı bırakmak olduğunu aktarıyor. Bu kayıt defteri anahtarı, şirketin Kerberos Dağıtım Merkezi’nin (KDC) zorlama modunu ‘Uyumluluk modu’ olarak değiştirmek için kullanılıyor. 

Microsoft şimdi bu sorunları aktif olarak araştırmaya ve geçici çözümler sunmaya başladığına göre bu, uygun bir düzeltmenin yakında veya en azından Haziran’da gerçekleşecek olan yamayla gelebileceği anlamına geliyor.