Microsoft xác nhận bản vá Patch Tuesday tháng 5/2022 gây lỗi xác thực AD

Microsoft đang điều tra một vấn đề đã biết gây ra lỗi xác thực cho một số dịch vụ Windows sau khi cài đặt các bản cập nhật trong Patch Tuesday tháng 5/2022.

Sau khi cài đặt bản cập nhật, quản trị viên Windows đã báo cáo về việc một số chính sách bị lỗi. Thông báo lỗi như sau: "Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing account or the password was incorrect".

Vấn đề này ảnh hưởng đến các nền tảng và hệ thống Windows cho máy khách và máy chủ chạy tát cả các phiên bản Windows, bao gồm cả các bản phát hành mới nhất hiện có (Windows 11 và Windows Server 2022).

Microsoft cho biết lỗi này chỉ được kích hoạt sau khi cài đặt các bản cập nhật trên máy chủ được sử dụng như domain controller. Các bản cập nhật sẽ không có tác động tiêu cực khi triển khai trên các thiết bị Windows máy khách và máy chủ không phải Windows Server domain controller.

"Sau khi cài đặt các bản cập nhật được phát hành vào ngày 10/5/2022 trên domain controller của bạn, bạn có thể thấy lỗi xác thực trên máy chủ hoặc máy khách cho các dịch vụ như Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) và Protected Extensible Authentication Protocol (PEAP)", Microsoft chia sẻ.

Hiện tại, Microsoft đang tiến hành điều tra vấn đề này và sẽ tung ra bản cập nhật để giải quyết nó trong thời gian tới.

Trong một tài liệu hỗ trợ khác, Microsoft cho biết chính các bản vá những lỗ hổng CVE-2022-26931 và CVE-2022-26923 đã gây ra vấn đề xác thực AD. Đây là hai lỗ hổng nâng cao đặc quyền trong Windows Kerberos và Active Directory Domain Services.

CVE-2022-26923 là lỗ hổng nghiêm trọng khi nó cho phép hacker nâng cao đặc quyền của tài khoản cấp thấp thành tài khoản quản trị viên trên các cấu hình Active Directory mặc định.

Tạm thời trong thời điểm này, người dùng có thể khắc phục bằng cách ánh xạ thủ công chứng chỉ với tài khoản máy trong Active Directory.

Trong bản cập nhật tháng 5, Microosoft cũng tự động thêm vào key Registry StrongCertificateBindingEnforcement. Key này sẽ thay đổi chế độ thực thi của Kerberos Distribution Center (KDC) thành chế độ Compatibility (điều này sẽ cho phép tất cả mọi xác thực trừ khi chứng chỉ cũ hơn người dùng).

Tuy nhiên, một quản trị viên cho biết rằng cách duy nhất để một số người dùng của họ có thể đăng nhập là vô hiệu hóa StrongCertificateBindingEnforcement bằng cách đặt giá trị của nó là 0.

Nếu bạn không tìm thấy key này trong Registry Editor thì bạn có thể tự tạo ra nó theo kiểu dữ liệu REG_DWORD và đặt cho nó giá trị là 0. Nhờ vậy, bạn sẽ tắt kiểm tra ánh xạ chứng chỉ mạnh. Mặc dù đây không phải là giải pháp mà Microsoft khuyến nghị nhưng nó là cách duy nhất để mọi người có thể đăng nhập.

Hồi tháng 11 năm ngoái, Microsoft cũng đã khắc phục các lỗi xác thực Windows Server liên quan tới các tình huống ủy quyền của Kerberos ảnh hưởng tới Domain Controllers (DC) qua các bản cập nhật khẩn cấp.