A Microsoft está investigando vazamentos de memória LSASS (causados por atualizações do Windows Server lançadas durante o Patch Tuesday de novembro) que podem levar a congelamentos e reinicializações em alguns controladores de domínio.
LSASS (abreviação de Local Security Authority Subsystem Service) é responsável por impor políticas de segurança em sistemas Windows e lida com a criação de token de acesso, alterações de senha e logins de usuários.
Se esse serviço travar, os usuários conectados perderão imediatamente o acesso às contas do Windows na máquina e verão um erro de reinicialização do sistema seguido por uma reinicialização do sistema.
"O LSASS pode usar mais memória ao longo do tempo e o controlador de domínio pode parar de responder e reiniciar", explica a Microsoft no painel Windows Health.
"Dependendo da carga de trabalho de seus controladores de domínio e da quantidade de tempo desde a última reinicialização do servidor, o LSASS pode aumentar continuamente o uso de memória com o tempo de atividade do servidor e o servidor pode parar de responder ou reiniciar automaticamente."
Redmond diz que as atualizações fora de banda do Windows enviadas para resolver problemas de autenticação em controladores de domínio do Windows também podem ser afetadas por esse problema conhecido.
A lista completa de versões afetadas do Windows inclui Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2.
A Microsoft está trabalhando em uma resolução e diz que fornecerá uma atualização em um próximo lançamento.
Solução alternativa disponível
Até que uma correção esteja disponível para resolver esse problema de vazamento de memória LSASS, a empresa também fornece uma solução temporária para permitir que os administradores de TI contornem a instabilidade do controlador de domínio.
Esta solução alternativa requer que os administradores definam a chave de registro KrbtgtFullPacSignature (usada para bloquear as alterações do protocolo Kerberos CVE-2022-37967 ) como 0 usando o seguinte comando:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
“Depois que esse problema conhecido for resolvido, você deve definir KrbtgtFullPacSignature para uma configuração mais alta, dependendo do que seu ambiente permitir”, acrescentou a Microsoft.
"Recomenda-se habilitar o modo Enforcement assim que seu ambiente estiver pronto. Para obter mais informações sobre esta chave de registro, consulte KB5020805 : Como gerenciar alterações de protocolo Kerberos relacionadas a CVE-2022-37967."
Em março, Redmond abordou outro problema conhecido que levava a reinicializações do controlador de domínio do Windows Server devido a travamentos do LSASS.
No início deste mês, a Microsoft corrigiu as falhas de login do controlador de domínio e outros problemas de autenticação também causados pelas atualizações do Patch Tuesday de novembro do Windows com atualizações emergenciais fora de banda (OOB).
Postar um comentário
Convido você a compartilhar suas impressões e ideias! Sua opinião é extremamente importante para mim e para a comunidade do Seja Hoje Diferente. Deixe seu comentário, feedback ou sugestões logo abaixo no campo de comentários. É através dessa troca que crescemos juntos e transformamos o SHD em um espaço cada vez mais rico e inspirador para todos. Vamos continuar essa conversa? Escreva suas experiências e pensamentos — estarei ansioso para ler e responder!