A Microsoft veio a público confirmar uma falha na autenticação Kerberos do Windows Hello que está a afetar os Controladores de Domínio (DC) do Active Directory (AD). O problema surgiu após a instalação das mais recentes atualizações do Patch Tuesday de abril de 2025, impactando várias versões do Windows Server.
O que está a acontecer exatamente?
Após a instalação das atualizações de segurança mensais de abril, lançadas a 8 de abril de 2025 – especificamente as KBs KB5055523 (Windows Server 2025), KB5055526 (Server 2022), KB5055519 (Server 2019) e KB5055521 (Server 2016) – os Controladores de Domínio do Active Directory podem enfrentar dificuldades. Estas dificuldades manifestam-se ao processar inícios de sessão Kerberos ou delegações que utilizam credenciais baseadas em certificados que dependem da confiança de chave através do campo msds-KeyCredentialLink do Active Directory. Consequentemente, podem surgir problemas de autenticação em ambientes de Confiança de Chave do Windows Hello para Empresas (WHfB) ou em ambientes que tenham implementado a Autenticação de Chave Pública de Dispositivo (também conhecida como PKINIT da Máquina).
A origem do problema e os protocolos afetados
A Microsoft esclarece que esta falha é o resultado de um bug de compatibilidade com os patches recentes implementados para corrigir uma vulnerabilidade de Elevação de Privilégio (rede) no Kerberos do Windows. Esta vulnerabilidade está identificada como CVE-2025-26647, e os detalhes do patch estão disponíveis no KB5057784. É importante notar que a implementação deste patch entrou na fase inicial de implementação, ou modo de auditoria, com as atualizações de abril, não estando, portanto, ainda a ser imposta de forma definitiva.
Os protocolos afetados incluem a Criptografia de Chave Pública Kerberos para Autenticação Inicial (Kerberos PKINIT) e a Delegação de Serviço para Utilizador (S4U) baseada em certificados, tanto através da Delegação Restrita Kerberos (KCD ou Delegação A2D2) como da Delegação Restrita Kerberos Baseada em Recursos (RBKCD ou Delegação A2DF). A empresa de Redmond acrescenta que outros produtos que dependem desta funcionalidade também podem ser afetados, como produtos de autenticação por cartão inteligente e soluções de single sign-on (SSO) de terceiros.
Microsoft explica a causa e os sintomas
A gigante tecnológica detalhou a causa subjacente: "Este problema está relacionado com medidas de segurança descritas no KB5057784, Proteções para CVE-2025-26647 (Autenticação Kerberos). A partir das atualizações do Windows lançadas a 8 de abril de 2025 e posteriores, o método pelo qual os DCs validam os certificados usados para autenticação Kerberos mudou. Após esta atualização, eles verificarão se os certificados encadeiam para uma raiz no repositório NTAuth, conforme descrito no KB5057784."
Este comportamento pode ser controlado pelo valor de registo AllowNtAuthPolicyBypass em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc. Se AllowNtAuthPolicyBypass não existir, o DC comportar-se-á como se o valor estivesse configurado para "1".
Dois sintomas principais podem ser observados:
Com o valor de registo
AllowNtAuthPolicyBypassdefinido como "1" no DC de autenticação, o ID de evento 45 do Kerberos-Key-Distribution-Center é repetidamente registado no log de eventos do sistema do DC, com um texto semelhante a "O Centro de Distribuição de Chaves (KDC) encontrou um certificado de cliente que era válido, mas não encadeava para uma raiz no repositório NTAuth". Embora este evento possa ser registado excessivamente, as operações de início de sessão relacionadas são bem-sucedidas.Com o valor de registo
AllowNtAuthPolicyBypassdefinido como "2" no DC de autenticação, as operações de início de sessão do utilizador falham. O ID de evento 21 do Kerberos-Key-Distribution-Center é registado no log de eventos do sistema do DC, com texto similar a "O certificado do cliente para o utilizador não é válido e resultou numa falha no início de sessão com smartcard."
Solução temporária já disponível
De momento, a Microsoft indica que o problema pode ser contornado configurando o valor de registo AllowNtAuthPolicyBypass para "1" em vez de "2". A empresa criou uma entrada para este problema no seu site oficial do Painel de Estado do Windows (Windows Health Dashboard), onde os administradores podem acompanhar futuras atualizações sobre esta situação.
Nenhum comentário
Seja o primeiro!