Windows Server

Windows Server

Celia Catalán



Am 12. März veröffentlichte Microsoft ein Update für seinen Windows Server 2022-Dienst, das Probleme verursacht, die seine Domänencontroller betreffen.

Viele Benutzer warnen seit diesem Tag auf Reedit, dass die Server aufgrund eines Speicherlecks im LSASS-Prozess (Local Security Authority Subsystem Service) unerwartet einfrieren und neu starten.

Das konkrete Problem ist laut Benutzern, die es gemeldet haben, folgendes: „Seit der Installation der März-Updates (Exchange und regelmäßige Windows Server-Updates) weisen die meisten unserer DCs eine ständig steigende LSASS-Speichernutzung auf (bis sie sterben).“

Der LSASS-Dienst ist der Prozess, der für die Durchsetzung von Sicherheitsrichtlinien auf Windows-Systemen verantwortlich ist: Er überprüft, ob sich Benutzer anmelden, verwaltet Kennwortänderungen und erstellt Zugriffstoken. Eine erzwungene Nutzung des Dienstes kann durch folgende Bedingungen verursacht werden:

  • Sie haben viele externe Vertrauensstellungen und viele gleichzeitige Anmeldeanfragen.
  • Bei diesen Anmeldeanfragen wird der Domänenname nicht angegeben.

Dies kann zu Verzögerungen oder Abstürzen bei der Authentifizierung des Systems oder sogar zu Neustarts führen, wenn das Speicherauslastungslimit des Systems erreicht ist.

Dieses Problem beunruhigt Benutzer sehr, da es sich um eine wichtige Systemdatei handelt, die häufig durch Malware gefälscht wird. Dieser Dienst wird im Verzeichnis Windows\System32 ausgeführt. Wenn er also in einem anderen Verzeichnis ausgeführt wird, handelt es sich höchstwahrscheinlich um einen Virus.

Die zugehörigen Updates sind KB5035855 (Windows Server 2016) und KB5035857 (Windows Server 2022). Am 20. März bestätigte Microsoft jedoch, dass das Problem alle Domänencontroller-Server mit den neuesten Updates betrifft: Windows Server 2022, 2019, 2016 und 2012 R2.
Laut Microsoft: „Dies wird beobachtet, wenn lokale und cloudbasierte Active Directory-Domänencontroller Kerberos-Authentifizierungsanforderungen verarbeiten.“ Extreme Speicherlecks können dazu führen, dass LSASS ausfällt und einen außerplanmäßigen Neustart der zugrunde liegenden Domänencontroller (DCs) auslöst.

Vorübergehende Abhilfe

Zum Zeitpunkt des Verfassens dieses Artikels hat Microsoft noch keine Lösung für dieses schwerwiegende Speicherverlustproblem veröffentlicht. Derzeit besteht die vorübergehende Lösung darin, die Dienste nicht zu aktualisieren oder zu einem früheren Update zurückzukehren, falls sie bereits aktualisiert wurden.

Dazu müssen Sie das Terminal mit Administratorrechten nutzen und je nachdem, welches Update auf den betroffenen Domänencontrollern installiert wurde, einen dieser Befehle ausführen:
  • also /uninstall /kb:5035855
  • also /uninstall /kb:5035849
  • also /uninstall /kb:5035857

Abschluss

Dieses Problem mit dem LSASS-Prozess ist nicht neu, es ist bereits mehrfach aufgetreten, beispielsweise:
  • Im November 2022 veröffentlichte Microsoft ein Update, das die Server betraf und zum Einfrieren und Neustarten führte.
  • Im März 2022 hat Microsoft einen weiteren LSASS-Fehler behoben, der zu Neustarts auf Windows Server-DCs führte.
Analysiert man, wie Microsoft mit seinen Patch-Lösungen arbeitet, deutet alles darauf hin, dass dieses Problem im nächsten April-Update behoben wird.

Javier Muñoz , Cybersicherheitsanalyst bei Zerolynx .
Zurück zum Blog

Hinterlasse einen Kommentar

Bitte beachten Sie, dass Kommentare vor der Veröffentlichung genehmigt werden müssen.