Windows Server : ce nouveau bug fait redémarrer les contrôleurs de domaine !
-
Les mises à jour de novembre 2022 seraient à l’origine d’un nouveau problème sur les contrôleurs de domaine Active Directory ! Cette fois-ci, les contrôleurs de domaine se fige ou redémarrage lorsque le bug se produit ! Faisons le point.
C’est le service LSASS de Windows qui est au cœur du problème et qui est directement impacté par les mises à jour de novembre 2022. Pour rappel, ce service critique sous Windows permet de gérer la création des tokens d’accès, ainsi que la connexion des utilisateurs et les changements de mot de passe. Si ce service plante, la session de l’utilisateur se ferme immédiatement et le système enchaîne sur un redémarrage.
C’est un peu ce qu’il se passe avec ce nouveau bug puisque le service se met à consommer trop de mémoire, ce qui le fait planter et mène à un redémarrage de serveur. Sur son site, Microsoft précise : “Selon la charge de travail de vos DCs et le temps écoulé depuis le dernier redémarrage du serveur, LSASS peut augmenter continuellement l’utilisation de la mémoire avec le temps et le serveur peut ne plus répondre ou redémarrer automatiquement.”
L’entreprise américaine précise que ce dysfonctionnement affecte les contrôleurs de domaine Active Directory qui tournent sur les versions suivantes de Windows Server : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1, et Windows Server 2008 SP2. La toute dernière version de Windows Server ne semble pas impactée.
Une solution de contournement
En attendant un correctif officiel, qui prendra peut être la forme d’une nouvelle mise à jour hors bande, Microsoft a mis en ligne une solution de contournement. Cela se passe dans le Registre, en exécutant la commande ci-dessous en tant qu’admin pour définir l’option à “KrbtgtFullPacSignature” à “0” :
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Cette modification doit être temporaire : “Une fois ce problème connu résolu, vous devriez définir KrbtgtFullPacSignature à un paramètre plus élevé en fonction de ce que votre environnement permet.”, tout en sachant que ce paramètre est là pour corriger la vulnérabilité CVE-2022-37967 et que Microsoft explique comment le configurer dans cet article (4 états différents sont possibles).
Il y a quelques jours, Microsoft a corrigé un problème d’authentification Kerberos qui affecte les environnements Active Directory ! Ce problème était, lui aussi, lié aux mises à jour de novembre. D’ailleurs, Microsoft explique que la mise à jour hors bande diffusée pour corriger ce bug d’authentification ne vous empêche pas de rencontrer ce nouveau bug lié à LSASS.
Source : it-connect.fr
-
Les années se suivent et se ressemblent. Quoique cette année les hyperviseurs ont l’air épargnés.
-
On verra bien @Raccoon l’année n’est pas encore finie
En attendant l’admin sys met les mains dans le cambouis !
Ce qui est reloud c’est de devoir se rappeler des modif faites et de les rechanger plus tard, souvent on peux oublier… La bonne pratique étant de tenir un registre pour chaque serveur.
Bon après l’autre bonne pratique, c’est d’avoir un WSUS et de tester les maj avant de les passer en prod pour éviter ce genre de mauvaises surprises même si sur ce cas précis, ça se contourne simplement en attendant un fix.