След пускането на априлските месечни актуализации за сигурност на Microsoft на 8 април 2025 г. (KB5055523), някои домейн контролери с Windows Server започнаха да изпитват сериозни проблеми с удостоверяването на потребители и устройства. Засегнати са версии от Windows Server 2016 до най-новата – Windows Server 2025.

Според Microsoft проблемите не засягат обикновени потребители, тъй като домейн контролерите (DC) се използват основно в бизнес среди за централизирано удостоверяване чрез Active Directory.

Какво точно се обърка?

След инсталиране на актуализацията, домейн контролерите може да имат затруднения при обработката на:

• Kerberos удостоверяване;

• Делегации, използващи удостоверяване с ключове (Key Trust) през полето msds-KeyCredentialLink в Active Directory.

Тези проблеми влияят директно върху:

• Windows Hello for Business (WHfB) в Key Trust конфигурации;

• Удостоверяване на устройства чрез публичен ключ (Machine PKINIT);

• Решения за Single Sign-On (SSO);

• Системи за управление на идентичности;

• Продукти със смарт карти и удостоверяване чрез сертификати.

Кои протоколи са засегнати?

Проблемите засягат Kerberos-базирани протоколи:

• Kerberos PKINIT (Public Key Cryptography for Initial Authentication);

• Kerberos Delegation чрез:

  • Resource-Based Constrained Delegation (RBKCD или A2DF);

  • Constrained Delegation (KCD или A2D2).

Каква е причината?

Всички тези затруднения произтичат от прилагането на мерки за сигурност срещу критична уязвимост – CVE-2025-26647, която Microsoft определи като сериозна. Уязвимостта позволява на автентикиран нападател да получи неправомерно ниво на достъп чрез манипулация на Kerberos удостоверяването.

Нападателят би могъл да използва сертификат с манипулиран идентификатор (SKI), за да получи билет за достъп (TGT) от Key Distribution Center (KDC), все едно е друг потребител – потенциално с администраторски права.

Препоръчани действия

За засегнатите организации Microsoft предлага временно решение чрез промяна в системния регистър (Registry):

В HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc:

• Задайте AllowNtAuthPolicyBypass от стойност 2 на 1.

Тази промяна разрешава обход на новата политика, която е причина за блокиране на някои удостоверявания.

История на проблемите с Kerberos

Microsoft има история със спешни актуализации по темата:

• През ноември 2022 г. бяха пуснати аварийни OOB ъпдейти за подобен срив в Kerberos удостоверяването;

• През 2024 г. също бяха регистрирани проблеми със Credential Guard и PKINIT на Windows 11 и Server 2025;

• Още през 2021 г. бе документиран срив в удостоверяването при делегации чрез Kerberos при по-стари версии на Windows.

Какво следва?

Microsoft вероятно ще пусне допълнителна корекция в следващите дни или седмици. Дотогава системните администратори трябва внимателно да следят състоянието на удостоверяването в домейн средите и да приложат временната мярка, ако е необходимо.