Microsoft ha solucionado un error crítico que generaba fallos de autenticación en los controladores de dominio de Windows Server después de aplicar las actualizaciones de seguridad correspondientes al mes de abril de 2025. Este problema afectaba a múltiples versiones del sistema operativo, desde Windows Server 2016 hasta la última versión, Windows Server 2025.
Versiones de Windows Server afectadas
Las plataformas impactadas por esta falla incluyen:
-
Windows Server 2016
-
Windows Server 2019
-
Windows Server 2022
-
Windows Server 2025
Aunque la afectación es amplia, Microsoft aclaró que los usuarios domésticos no están en riesgo, ya que los controladores de dominio (Domain Controllers o DC) son componentes implementados principalmente en entornos corporativos y empresariales para la autenticación centralizada.
El origen del problema: Kerberos y credenciales basadas en certificados
El error fue identificado después de la instalación del parche de seguridad KB5055523, liberado el 8 de abril de 2025. Según explicó Microsoft, los DC que ejecutan Active Directory podrían presentar problemas al procesar solicitudes de inicio de sesión o delegaciones Kerberos basadas en credenciales de certificados, específicamente aquellas que utilizan el campo
1 | msds-KeyCredentialLink |
de Active Directory.
Esta condición afectaba entornos que utilizaban características avanzadas como:
-
Windows Hello para empresas (WHfB) con confianza de claves.
-
PKINIT de máquina (autenticación de clave pública de dispositivo).
-
Sistemas de autenticación con tarjetas inteligentes.
-
Soluciones SSO (Single Sign-On) de terceros.
-
Software de gestión de identidades.
Parche de emergencia: nuevas actualizaciones acumulativas
Para mitigar estos fallos de autenticación, Microsoft lanzó una serie de actualizaciones acumulativas específicas para cada versión de Windows Server afectada. Estas actualizaciones fueron liberadas la segunda semana de junio de 2025:
-
✅ KB5060842 – Windows Server 2025
-
✅ KB5060526 – Windows Server 2022
-
✅ KB5060531 – Windows Server 2019
-
✅ KB5061010 – Windows Server 2016
Microsoft recomienda instalar la última actualización disponible para cada versión, ya que estas incluyen no solo la solución a este problema puntual, sino también otras correcciones de seguridad relevantes.
“Le recomendamos que instale la última actualización de seguridad para su dispositivo, ya que contiene importantes mejoras y soluciones de problemas, incluida esta”, indicó Microsoft en su actualización oficial de estado.
Medidas provisionales y cambios en el registro
En caso de que los administradores no puedan aplicar inmediatamente las actualizaciones, Microsoft sugiere una solución temporal mediante el ajuste del valor del registro AllowNtAuthPolicyBypass. Esta clave debe configurarse con un valor de ‘2’ en los controladores de dominio actualizados que dependan de autenticación basada en certificados autofirmados.
El procedimiento completo se encuentra en la sección de Configuración del Registro del artículo de soporte KB5057784.
¿Por qué ocurre este problema?
Este fallo se originó como efecto colateral de las medidas de mitigación implementadas para corregir la vulnerabilidad crítica CVE-2025-26647, una falla de validación de entrada en el protocolo de autenticación Kerberos, que podría permitir a un atacante autenticado escalar privilegios de forma remota.
Kerberos ha reemplazado a NTLM como protocolo de autenticación predeterminado en sistemas conectados a dominios desde Windows 2000. Sin embargo, sus mecanismos complejos y basados en certificados hacen que errores en parches o configuraciones puedan derivar en problemas generalizados de autenticación.
Antecedentes: problemas previos relacionados con Kerberos
Este no es el primer incidente relacionado con Kerberos y actualizaciones de Windows. En abril de 2025, Microsoft también solucionó un problema conocido que afectaba a sistemas Windows 11 y Windows Server 2025, específicamente cuando se utilizaba Kerberos PKINIT junto con Credential Guard, una tecnología de aislamiento de credenciales para prevenir ataques tipo Pass-the-Hash.
Además, en noviembre de 2022, la compañía tuvo que emitir actualizaciones fuera de banda (OOB) para abordar errores que provocaban fallos de autenticación generalizados en entornos empresariales, afectando también a controladores de dominio Windows.
Recomendaciones para administradores de sistemas
Ante este tipo de incidentes, se recomienda seguir buenas prácticas de administración de entornos Windows Server:
-
Mantener los sistemas siempre actualizados con las últimas actualizaciones acumulativas.
-
Supervisar los logs de eventos relacionados con Kerberos y autenticación.
-
Aplicar políticas de seguridad reforzadas en el uso de certificados y claves.
-
Probar actualizaciones en entornos controlados antes de implementarlas a gran escala.
-
Configurar alertas para detectar fallos en autenticación tempranamente.
Los errores de autenticación provocados por las actualizaciones de abril de 2025 en Windows Server subrayan la complejidad de los entornos empresariales modernos, donde parches de seguridad pueden tener efectos no previstos. Microsoft ha respondido con rapidez, proporcionando actualizaciones específicas y guías de mitigación para reducir el impacto.
Los administradores de TI deben estar atentos a los cambios en el comportamiento del sistema tras cada actualización, especialmente cuando involucran tecnologías sensibles como Kerberos, WHfB o tarjetas inteligentes. Mantener una política de actualizaciones responsable y una estrategia de respaldo efectiva es esencial para garantizar la continuidad y la seguridad de la infraestructura empresarial.
Fuente: Bleeping Computer
