SYSTOLA
FROM THE LABS
Microsoft Patch Day geht schief
Post-Mortem-Analyse der Januar-Updates und Kompatibilität mit Auswirkungen auf die SystoLOCK-Authentifizierung
Roman Kuznetsov @ 22.01.2025
Follow Roman Kuznetsov on LinkedIn
Hintergrund
Im Januar veröffentlichte Microsoft Updates für die Windows Server OS-Versionen 2016, 2019 und 2022, mit denen Änderungen an der Art und Weise eingeführt wurden, wie Kerberos die zertifikatsbasierte Authentifizierung handhabt. Diese Updates beinhalteten strengere Validierungsprüfungen für Zertifikate als Teil der laufenden Bemühungen von Microsoft, die Sicherheit zu verbessern. Obwohl SystoLOCK diese Änderungen vorausgesehen und die Einhaltung der angekündigten Anforderungen sichergestellt hatte, lösten die Updates ein unerwartetes Problem aus, das nicht mit dem neuen Validierungsschema zusammenhing.

Als Teil der Updates hat Microsoft Änderungen implementiert, die darauf abzielen, Kerberos zu härten, insbesondere bei der Verarbeitung von Zertifikaten zur Authentifizierung. Obwohl diese Maßnahmen zur Behebung bekannter Schwachstellen von entscheidender Bedeutung sind, ist bei der Einführung dieser Updates wahrscheinlich etwas passiert, das bei bestimmten Konfigurationen, einschließlich der von SystoLOCK verwendeten spezifischen Zertifikatsstruktur, versehentlich Probleme verursacht hat.
Grundursache
In der Vergangenheit wurde bei von SystoLOCK ausgestellten Zertifikaten das Antragsteller-Feld leer gelassen, um in bestimmten Grenzfällen das Escaping von Namen zu verhindern. Stattdessen wurde die Benutzerkennung im Attribut Subject Alternative Name (SAN) gespeichert, das von Windows immer gegenüber dem leeren Antragsteller bevorzugt wurde. Dieser Ansatz gewährleistete Flexibilität und Kompatibilität in verschiedenen Umgebungen unter Beibehaltung der Sicherheitsstandards. Mit den Januar-Updates führte Microsoft jedoch versehentlich einen Fehler in das Kerberos-Subsystem ein.

Dieser Fehler führte dazu, dass Domänencontroller Zertifikate mit einem leeren Antragsteller-Feld stillschweigend zurückwiesen. Im Gegensatz zum früheren Verhalten, bei dem Windows den leeren Betreff ignorierte und sich auf das SAN-Attribut verließ, schlägt die aktualisierte Kerberos-Validierungslogik nun fehl, ohne einen Fehler oder Protokolleintrag zu erzeugen. Dieser stille Fehler führte zu einer schwierigen Situation, da die Administratoren keine Rückmeldung erhielten, um die Ursache zu ermitteln.

Die Auswirkungen des Fehlers erstreckten sich auf die Implementierung von SystoLOCK und unterbrachen den Authentifizierungsprozess für Systeme, die sich auf diese Zertifikate verlassen. Zuvor war diese Konfiguration zuverlässig, aber die neue Handhabung führte zu einem Bruch.
Auswirkungen
Dieses Problem führte dazu, dass einige SystoLOCK-Installationen auf aktualisierten Windows Server-Systemen nicht mehr funktionierten. Die betroffenen Benutzer erlebten Unterbrechungen in den Authentifizierungs-Workflows, ohne dass eindeutige Diagnoseinformationen darüber vorlagen, warum die Fehler auftraten. Diese fehlende Rückmeldung erschwerte die Fehlerbehebung erheblich, insbesondere in Umgebungen, in denen Administratoren nur einen begrenzten Einblick in die Zertifikatsvalidierungsprozesse hatten.

Die Unterbrechung betraf in erster Linie Umgebungen, in denen die Januar-Updates zeitnah eingespielt wurden. Da SystoLOCK vor dem Update voll funktionsfähig war, führte der plötzliche Ausfall dazu, dass die Benutzer keinen Zugang zu kritischen Systemen hatten, was zu Verzögerungen im Betrieb und potenziellen Sicherheitsbedenken führte.
Lösung
Unser Entwicklungsteam reagierte schnell, um das Problem zu diagnostizieren und zu entschärfen. Nach einer gründlichen Untersuchung wurde ein Hotfix entwickelt und veröffentlicht, um das Problem zu beheben. Der Hotfix aktualisiert den Prozess der Zertifikatsausstellung von SystoLOCK, um einen korrekten Wert in das Antragsteller-Feld einzubinden. Diese Anpassung gewährleistet die Kompatibilität mit dem neuen Windows-Validierungsverhalten und verhindert, dass Domänencontroller Zertifikate aufgrund eines leeren Betreffs ablehnen.
Administratoren betroffener Umgebungen sollten ihre SystoLOCK-Installation sofort aktualisieren, um eine unterbrechungsfreie Authentifizierung zu gewährleisten und pausierte Windows-Updates fortzusetzen.

Bitte laden Sie den Hotfix CBA-HotFx-2.16.5053.1221 von https://systola.com/downloads/systolock herunter und folgen Sie den Anweisungen der Hotfix-Installation.
Weitere Informationen
Ausführliche Informationen über die Aktualisierungen vom Januar und ihre Auswirkungen finden Sie in den folgenden Ressourcen: