През юни 2025 г. Microsoft пусна няколко ключови актуализации за сигурност, с които отстрани две сериозни и дългоочаквани проблеми, засягащи Windows Server домейн контролерите. Те включват аварии в удостоверяването чрез Kerberos и проблеми с мрежовата достъпност след рестартиране на сървъри с ролята на домейн контролер.
След инсталиране на KB5055523 от април 2025 г., домейн контролерите започнаха да изпитват затруднения при обработка на Kerberos логини и делегации в среди, използващи удостоверяване чрез ключове в Active Directory (msds-KeyCredentialLink
).
Windows Hello for Business (WHfB) с Key Trust
Удостоверяване чрез Machine PKINIT
Интеграции със SSO решения и смарт карти
KB5060842 – Windows Server 2025
KB5060526 – Windows Server 2022
KB5060531 – Windows Server 2019
KB5061010 – Windows Server 2016
Microsoft обясни, че проблемът е следствие от мерки за защита срещу уязвимост с висока тежест (CVE-2025-26647), позволяваща повишаване на привилегии чрез слабости в обработката на входни данни в Kerberos.
Друг важен проблем, също свързан с Windows Server 2025, предизвикваше зареждане на стандартен firewall профил след рестарт на домейн контролери, вместо на домейн firewall профила. Това доведе до:
Некоректна обработка на мрежов трафик
Недостъпност на приложения и услуги
Възможност за неразрешен достъп по портове и протоколи
Също отстранен в KB5060842, пуснат в рамките на Patch Tuesday (юни 2025). До инсталиране на актуализацията, Microsoft препоръчва временна мярка: ръчно рестартиране на мрежовия адаптер след всяко зареждане чрез PowerShell командата:
Restart-NetAdapter *
С двете актуализации Microsoft успешно отстранява сериозни проблеми, които застрашаваха стабилността на удостоверяването и мрежовата комуникация в корпоративни среди. Администраторите на Windows Server домейн контролери трябва незабавно да инсталират съответните актуализации, за да възстановят нормалната работа на удостоверителната инфраструктура и да избегнат бъдещи прекъсвания.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.