Come possiamo aiutarvi oggi?

Condivisioni vuote con accesso SSO causate da Windows Update

Tu sei qui:
< Indietro

Questo incidente si è verificato nel novembre del 2011, con una patch a fine novembre e correzioni finali nelle versioni cumulative di dicembre e gennaio. Dall'estate 2022 non si sono verificati né sono previsti ulteriori incidenti in questo senso, poiché gli aggiornamenti che lo hanno causato non sono più attuali.

Conserviamo questo articolo per scopi di archiviazione, ma non si tratta di un incidente attivo né di una causa comune di problemi di condivisione con MyWorkDrive.

Nota: Microsoft ha rilasciato una correzione con l'aggiornamento cumulativo di dicembre

Secondo il catalogo degli aggiornamenti di Micosoft, l'aggiornamento fuori banda KB5008601 (2016) è stato sostituito dal CU KB5008207 di dicembre. L'aggiornamento fuori banda KB5008602 (2019) è stato sostituito dal CU KB5008218 di dicembre. Quindi puoi saltare l'aggiornamento fuori banda e passare direttamente all'aggiornamento cumulativo di dicembre.

Se hai installato l'aggiornamento di novembre e riscontri problemi di accesso con SSO, il CU di dicembre risolverà il problema.

Se non hai installato alcun aggiornamento, la CU di dicembre fornirà l'aggiornamento senza causare problemi per gli accessi SSO.

 

Descrizione del problema

Un aggiornamento rilasciato da Microsoft il 9 novembre come parte del Patch Tuesday conteneva un difetto che interrompeva l'autenticazione Kerberos utilizzata da molti prodotti SSO, incluso MyWorkDrive, quando l'aggiornamento è installato sui controller di dominio. Era in risposta a CVE-2021-42287

I client interessati riscontreranno accessi client Web che non mostrano condivisioni disponibili dopo l'accesso e client Map Drive che non riescono ad accedere e segnalano "Nessuna condivisione fornita" o un errore "Utente non trovato" (a seconda della versione del client Map Drive).

 

I dettagli sul difetto e sulla sua risoluzione sono disponibili qui
https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

 

Il problema è presente solo quando l'aggiornamento è installato su Controller di dominio. L'installazione/rimozione dai server MyWorkDrive e dai file server non ha alcuna influenza sul problema.

 

Le patch aggiornate sono state rilasciate il 14 novembre per risolvere il problema riscontrato nei precedenti aggiornamenti difettosi e dovrebbero essere installate sui controller di dominio. Devono essere scaricati e installati manualmente, non vengono forniti da Microsoft Update.

KB5008602 per Server 2019:

https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

KB5008601 per Server 2016:

https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1607-and-windows-server-2016#2748msgdesc

 

Gli aggiornamenti originali che causano il problema sono:

KB5007206 per server 2019.
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007206-os-build-17763-2300-c63b76fa-a9b4-4685-b17c-7d866bb50e48

KB5007192 per server 2016
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007192-os-build-14393-4770-f534a33a-ed00-4bd2-8248-9424c53e9bde

Se uno di questi è installato sui controller di dominio, devi rimuoverli o installare la patch collegata sopra per correggere il problema.

 

Se i controller di dominio non sono 2016/2019, i collegamenti per l'aggiornamento e la patch per altre versioni di Windows possono essere trovati qui:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287

Sono tutti interessati i server 2008, 2008r2, 2012 e 2012r2.

 

Identificazione di un controller di dominio con il bug

Gli EventID che indicano che un controller di dominio dispone dell'aggiornamento, ma non della correzione, includono

https://support.microsoft.com/en-gb/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041

35
Origine evento
Kdcsvc
ID evento
35
Testo dell'evento
Il Centro distribuzione chiavi (KDC) ha rilevato un ticket di concessione di ticket (TGT) da un altro KDC (" ") che non conteneva un campo per gli attributi PAC.
36
Origine evento
Kdcsvc
ID evento
36
Testo dell'evento
Il Centro distribuzione chiavi (KDC) ha rilevato un ticket che non conteneva un PAC durante l'elaborazione di una richiesta per un altro ticket. Ciò impediva l'esecuzione dei controlli di sicurezza e poteva aprire vulnerabilità di sicurezza.
Cliente: \
Biglietto per:
37
Origine evento
Kdcsvc
ID evento
37
Testo dell'evento
Il Centro distribuzione chiavi (KDC) ha rilevato un ticket che non conteneva informazioni sull'account che ha richiesto il ticket durante l'elaborazione di una richiesta per un altro ticket. Ciò impediva l'esecuzione dei controlli di sicurezza e poteva aprire vulnerabilità di sicurezza.
Ticket PAC costruito da:
Cliente: \
Biglietto per:
38
ID evento
38
Testo dell'evento
Il Centro distribuzione chiavi (KDC) ha rilevato un ticket che conteneva informazioni incoerenti sull'account che ha richiesto il ticket. Ciò potrebbe significare che l'account è stato rinominato dopo l'emissione del ticket, il che potrebbe essere parte di un tentativo di exploit.
Ticket PAC costruito da:
Cliente: \
Biglietto per:
Richiesta del SID dell'account da Active Directory:
Richiesta del SID dell'account dal ticket:

A differenza di alcuni difetti nelle patch/aggiornamenti Microsoft, questo non è un caso in cui potresti essere interessato. Se utilizzi SSO e installi gli aggiornamenti di Windows senza installare la patch per risolverlo, subirai delle conseguenze.

Se trovi condivisioni vuote quando utilizzi SSO, mentre gli accessi con credenziali di dominio mostrano condivisioni, controlla innanzitutto di averle delega correttamente abilitata. Se la delega è abilitata correttamente, ricontrolla il controller di dominio per verificare se i KB associati all'aggiornamento sono installati. In tal caso, installa le patch per risolvere il problema.