BUG: Authentication might fail on DCs with certain Kerberos delegation scenarios

UID
EXP-2021-001633
Author
mmolho
Criticity
Critical
Publication Date
Vendor
Microsoft
Product
Domain Controller
CVSS Score
9

Microsoft a publié début novembre les patchs de sécurité pour ses environnements Windows Servers.

Un dysfonctionnement majeur a été découvert sur ces patchs, dont voici les détails

Impact

Le mécanisme de délégation Kerberos (S4u2self) ne fonctionne plus. Si une application front-end effectue une authentification Kerberos sur un backend en utilisant un compte de délégation, cette authentification échoue, rendant l'application inacessible.

Ce mécanisme de Single Sign On Kerberos est très fréquemment utilisé par des reverse proxies (F5, Rohde &Schwarz ...) ou passerelles applicatives (Vmware Workspace One, Citrix ...).

Environnements concernés :

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2 SP1
  • Windows Server 2008 SP2


Identifiants des patchs


Afin de vous permettre d'identifier les patch à ne pas installer, ou à désinstaller si vous etes impactés, voici leurs identifiants :

  • KB5007206 - Windows Server 2019
  • KB5007192 - Windows Server 2016
  • KB5007247 - Windows Server 2012 R2
  • KB5007260 - Windows Server 2012
  • KB5007236 - Windows Server 2008 R2 SP1
  • KB5007263 - Windows Server 2008 SP2


Recommandations


Microsoft n'as pas encore publié de correctif pour ce problème.

Le problème vient de la signature incorrecte des tickets Kerberos en délégation S4u2self générés par des controleurs de domaine après l'application des derniers patchs.

Toutefois nous vous recommandons d'étudier l'impact sur votre environnement avant de patcher les controleurs de domaine.

Si vous utilisez l'authentification par délégation Kerberos sur des applications, nous vous invitons à reporter le patching des controleurs de domaine.

e-Xpert Solutions vous recommande vivement de patcher vos autres environnement Windows Server.


Tags: microsoft kerberos bug delegation path S4u2self N/A