Windows Server

Windows Server



El 12 de març passat Microsoft va alliberar una actualització per al seu servei Windows Server 2022 que està causant problemes que afecten els controladors de domini d'aquest.

Molts usuaris ho van estar advertint a Reedit des d'aquell dia, els servidors es congelen i es reinicien de manera inesperada a causa d'una fuita de memòria produïda en el procés LSASS (Servei del subsistema de l'autoritat de seguretat local).

El problema concret segons els usuaris que ho han reportat és: “Des de la instal·lació de les actualitzacions de març (Exchange i actualitzacions periòdiques de Windows Server), la majoria dels nostres DC mostren un ús de memòria LSASS en constant augment (fins que moren) .”

El servei LSASS en el procés responsable de fer complir la política de seguretat dels sistemes Windows: verifica que els usuaris iniciïn sessió, gestiona els canvis de contrasenya i crea tokens d'accés. L'ús forçat del servei pot provocar les condicions:

  • Té moltes confiança externes i moltes sol·licituds d'inici de sessió simultanis.
  • Aquestes sol·licituds d'inici de sessió no especifiquen el nom de domini.

Això pot desembocar en retards o penges a l'hora de fer l'autenticació al sistema o fins i tot reinicis en arribar al límit d'ús de memòria.

Aquest problema alarma tant els usuaris perquè en ser un arxiu crucial del sistema, sovint és falsificat per codi maliciós (malware). Aquest servei s'executa des del directori Windows\System32, per tant, si s'executa des d'un altre directori, el més probable és que es tracti d'un virus.

Les actualitzacions relacionades són KB5035855 (Windows Server 2016) i KB5035857 (Windows Server 2022), però, el 20 de març Microsoft va reconèixer que el problema afecta tots els servidors de controladors de domini amb les darreres actualitzacions: Windows Server 2022, 2019, 2016 i 2012 R2.
Segons Microsoft: Això s'observa quan els controladors de domini d'Active Directory locals i basats en el núvol atenen sol·licituds d'autenticació Kerberos. Les pèrdues extremes de memòria poden causar que LSASS falli, cosa que desencadena un reinici no programat dels controladors de domini (DC) subjacents”.

Remei temporal

Microsoft a dia de la redacció d'aquest article encara no ha publicat una solució per a aquest greu problema de pèrdua de memòria i de moment la solució temporal és no actualitzar els serveis o tornar a una actualització anterior en el cas que ja hagin estat actualitzats .

Per fer-ho, s'ha d'utilitzar la terminal amb permisos d'administrador i segons quina actualització s'hagi instal·lat als controladors de domini afectats, s'ha d'executar una d'aquestes ordres:
  • així que /desinstal·leu /kb:5035855
  • així que /desinstal·leu /kb:5035849
  • així que /desinstal·leu /kb:5035857

Conclusió

Aquest problema amb el procés LSASS no és nou, ha passat en diverses ocasions com, per exemple:
  • Al novembre de 2022, Microsoft publicava una actualització que afectava els servidors , provocant que es congelessin i reiniciessin.
  • Al març de 2022, Microsoft va solucionar una altra fallada de LSASS que provocava reinicis als DC de Windows Server.
Analitzant com treballa les solucions dels seus pegats Microsoft, tot apunta que aquest problema serà solucionat a la següent actualització d'abril.

Javier Muñoz , Analista de Ciberseguretat a Zerolynx .
Tornar al bloc

Deixa un comentari

Tingueu en compte que els comentaris s'han d'aprovar abans que es publiquin.