Microsoft está investigando fugas de memoria LSASS (causadas por las actualizaciones de Windows Server lanzadas durante el martes de parches de noviembre) que podrían provocar bloqueos y reinicios en algunos controladores de dominio.
LSASS (abreviatura de Servicio de subsistema de autoridad de seguridad local) es responsable de hacer cumplir las políticas de seguridad en los sistemas Windows y maneja la creación de tokens de acceso, los cambios de contraseña y los inicios de sesión de los usuarios.
Si este servicio falla, los usuarios que iniciaron sesión pierden inmediatamente el acceso a las cuentas de Windows en la máquina y se les muestra un error de reinicio del sistema seguido de un reinicio del sistema.
«LSASS podría usar más memoria con el tiempo y el DC podría dejar de responder y reiniciarse», explica Microsoft en el panel de Windows Health.
«Dependiendo de la carga de trabajo de sus DC y la cantidad de tiempo desde el último reinicio del servidor, LSASS podría aumentar continuamente el uso de la memoria con el tiempo de actividad de su servidor y el servidor podría dejar de responder o reiniciarse automáticamente».
Redmond dice que las actualizaciones de Windows fuera de banda lanzadas para abordar los problemas de autenticación en los controladores de dominio de Windows también podrían verse afectadas por este problema conocido.
La lista completa de versiones de Windows afectadas incluye Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 y Windows Server 2008 SP2.
Microsoft está trabajando en una resolución y dice que proporcionará una actualización con un próximo lanzamiento.
Solución alternativa disponible
Hasta que haya una solución disponible para abordar este problema de fuga de memoria LSASS, la compañía también proporciona una solución temporal para permitir que los administradores de TI solucionen la inestabilidad del controlador de dominio.
Esta solución alternativa requiere que los administradores establezcan la clave de registro KrbtgtFullPacSignature (utilizada para activar los cambios del protocolo Kerberos CVE-2022-37967 ) en 0 mediante el siguiente comando:
1 reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
«Una vez que se resuelva este problema conocido, debe configurar KrbtgtFullPacSignature en una configuración más alta según lo que permita su entorno», agregó Microsoft.
«Se recomienda habilitar el modo de Cumplimiento tan pronto como su entorno esté listo. Para obtener más información sobre esta clave de registro, consulte KB5020805 : Cómo administrar los cambios del protocolo Kerberos relacionados con CVE-2022-37967″.
En marzo, Redmond abordó otro problema conocido que provocaba reinicios del controlador de dominio de Windows Server debido a fallas de LSASS.
A principios de este mes, Microsoft solucionó las fallas de inicio de sesión del controlador de dominio y otros problemas de autenticación también causados por las actualizaciones de Windows del martes de parches de noviembre con actualizaciones de emergencia fuera de banda (OOB).
Fuente: https://www.bleepingcomputer.com