Las actualizaciones de seguridad de Windows Server de abril de 2024 (KB5036909, KB5036896, KB5036899, KB5036960, KB5036969, KB5036967 y KB5036932) están causando reinicios inesperados del controlador de dominio, fallos de autenticación NTLM y problemas de conexión VPN.
Problemas identificados
- Reinicios inesperados del controlador de dominio: El servicio LSASS (Local Security Authority Subsystem Service) se bloquea, lo que provoca reinicios repentinos del servidor que pueden interrumpir los servicios críticos y las operaciones comerciales.
- Fallos de autenticación NTLM: Los usuarios no pueden autenticarse en los recursos de la red que utilizan la autenticación NTLM, lo que impide el acceso a archivos, aplicaciones y otros servicios.
- Problemas de conexión VPN: Las conexiones VPN se vuelven inestables o fallan por completo, lo que dificulta o imposibilita el acceso remoto a la red corporativa.
Sistemas afectados:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2
- Windows Server 2008
Impacto:
Estos problemas pueden tener un impacto significativo en las operaciones comerciales, incluyendo:
- Pérdida de productividad debido a la interrupción de servicios críticos.
- Dificultades para acceder a archivos y aplicaciones importantes.
- Incapacidad para trabajar de forma remota.
- Posibles brechas de seguridad si los fallos de autenticación NTLM se aprovechan.
Causas:
Las actualizaciones de seguridad de Windows Server de abril de 2024 contienen errores que provocan bloqueos del servicio LSASS, fallos en la autenticación NTLM y problemas de conectividad VPN.
Recomendaciones
Microsoft no ha publicado una solución oficial en este momento. Se espera que una actualización con correcciones esté disponible en las próximas semanas.
Se recomienda encarecidamente no instalar las actualizaciones de seguridad de abril de 2024 en los servidores de controlador de dominio. Si ya ha instalado las actualizaciones, siga estas medidas:
- Desinstale las actualizaciones problemáticas: Utilice el siguiente comando para desinstalar las actualizaciones de seguridad de abril de 2024:
DISM /online /Remove-Package /PackageName:Package_Name
Donde Package_Name
es el nombre del paquete LCU. Puede encontrar el nombre del paquete utilizando el siguiente comando:
DISM /online /get-packages
Tenga en cuenta que desinstalar las actualizaciones de seguridad también eliminará las correcciones de seguridad para las vulnerabilidades parcheadas.
- Implemente la política de grupo: Como solución alternativa temporal, puede habilitar la siguiente política de grupo para mitigar los fallos de autenticación NTLM:
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Defender Credential Manager > Require strong passwords for NTLM authentication
Adicionalmente se recomienda:
- Capacitar a los empleados sobre las amenazas de seguridad: Capacitar a los empleados sobre las amenazas de seguridad y cómo identificar y reportar actividades sospechosas, lo que permite que los usuarios se mantengan alerta sobre las acciones que deben o no tomar frente a situaciones de este tipo.
- Mantenerse informado: Manténgase informado sobre las últimas amenazas cibernéticas y siga las recomendaciones de las agencias de seguridad cibernética.
Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa.
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!
Fuentes
https://www.bleepingcomputer.com/news/microsoft/microsoft-april-windows-server-updates-also-cause-crashes-reboots/
https://www.windowslatest.com/2024/05/05/microsoft-confirms-kb5036909-issues-in-windows-server-with-ntlm-traffic-lsass/
https://answers.microsoft.com/en-us/windows/forum/all/random-pc-crash-followed-by-reboot-and-then-a/b2381cf2-2451-4023-9bff-339ee6eba1c7
https://www.neowin.net/news/microsoft-kb5036909-windows-server-update-causing-tremendous-ntlm-traffic-issues-on-dcs/