- Domeincontrollers verwerken aanmeldingsverzoeken voor computers met het Windows-besturingssysteem in een domeinconfiguratie.
- Microsoft Support heeft gemeld dat dit probleem zich voordoet in alle versies van Windows Server die het bedrijf ondersteunt.
- Microsoft moest enkele van de Windows Server-updates die het op Patch Tuesday uitbracht, verwijderen nadat gebruikers hadden gemeld dat ze bugs hadden.
- Als gevolg van het bijwerken naar de onlangs uitgebrachte Windows-updates KB5009543 en KB5008876, ontdekten gebruikers dat deze updates L2TP VPN-verbindingen op nieuwe machines verbraken.
De patches die op Patch Tuesday zijn uitgebracht, hebben voor problemen gezorgd, waaronder het creëren van spontane opstartloops op servers met Windows Domain Controllers, het doorbreken van de Hyper-V-serverrol en het maken van volumes met behulp van ReFS-opslag niet beschikbaar.
Microsoft trok de Windows Server-updates terug die het op Patch Tuesday had uitgegeven nadat gebruikers hadden gemeld dat de patches bugs bevatten die drie functies braken:
- Ze kunnen ervoor zorgen dat Windows-servers die fungeren als domeincontrollers in een lus crashen en opnieuw opstarten.
- Hyper-V onbruikbaar maken.
- Voorkom dat ReFS-volumesystemen worden gebruikt.
Windows-gebruikers werden op dezelfde dag in januari 2022 getroffen door twee ongelukkige berichten, toen Microsoft 97 beveiligingsupdates uitbracht in zijn maandelijkse Update dinsdag patch, wat ook resulteerde in kapotte Windows-installaties voor sommige gebruikers.
Updates
De batch van deze maand bevat de Windows Server 2012 R2 KB5009624-update, de Windows Server 2019 KB5009557-update en de Windows Server 2022 KB5009555-update. Al deze updates zijn als defect aangemerkt.
"Beheerders van Windows Domain Controllers moeten voorzichtig zijn met het installeren van de beveiligingsupdates van januari 2022," geboren stad verklaarde.
"Ik heb nu talloze meldingen ontvangen dat Windows-servers die als domeincontrollers fungeren daarna niet meer opstarten", Geboren schreef. “Lsass.exe (of wininit.exe) activeert een blauw scherm met de stopfout 0xc0000005. Het kan alle Windows Server-versies raken die fungeren als domeincontrollers, volgens mijn inschatting.”
Domeincontrollers fungeren als servers voor het verwerken van aanmeldingsverzoeken voor beveiliging voor Windows-domeincomputers. Microsoft's Hyper-V, een hypervisor die is ingebouwd in de nieuwste updates van Windows Server, kan native virtuele machines beheren die draaien op x86-64 Windows-besturingssystemen.
Het derde ding dat een make-over krijgt vanwege de updates, Resilient File System (ReFS), is een bestandssysteem dat zo is ontworpen dat het uw gegevens beschermt en helpt om veilig te blijven, zelfs wanneer ze worden geconfronteerd met tegenslagen.
Windows-serverproblemen
Het ondersteuningsteam van Microsoft heeft gemeld dat de probleem doet zich voor in alle versies van Windows Server ondersteund door het bedrijf.
Verschillende Reddit-gebruikers hebben dit probleem gemeld. Een commentator zei: "Het lijkt erop dat KB5009557 (2019) en KB5009555 (2022) ervoor zorgen dat er iets misgaat op domeincontrollers, die vervolgens om de paar minuten opnieuw worden opgestart."
Een andere Reddit-bijdrager zei dinsdag dat hij, na het updaten naar de onlangs uitgebrachte Windows-updates KB5009543 en KB5008876, had ontdekt dat ze L2TP VPN-verbindingen op nieuwe machines hadden verbroken.
"Nu werken hun L2TP VPN's naar verschillende sites (alle SonicWall's) niet", verklaarde de gebruiker, met een foutmelding die luidde: "De L2TP-verbindingspoging is mislukt omdat de beveiligingslaag een verwerkingsfout heeft aangetroffen tijdens de eerste onderhandelingen met de afstandsbediening computer."
Donderdag meldde BleepingComputer, naar aanleiding van meldingen van problemen met de cumulatieve updates van Windows Server in januari, dat Microsoft deze updates van Windows Update heeft verwijderd.
Vanaf donderdagmiddag echter, en ondanks klachten van gebruikers die problemen hadden ondervonden met de cumulatieve updates van Windows 10 en Windows 11, had Microsoft naar verluidt de updates niet verwijderd.
Eerdere meldingen van problemen met de nieuwste versie van Windows zijn grotendeels overdreven. Gebruikers die geen problemen hebben, kunnen de oproepen waarschijnlijk negeren om geduldig te zijn terwijl Microsoft de zaken doorwerkt.
Defecte patches
Hoe overtuig je organisaties om systemen snel te patchen wanneer sommige patches onverwachte downtime kunnen veroorzaken op kritieke infrastructuurcomponenten zoals directoryservices-controllers?
Experts zijn het erover eens dat het een veiligheidsrisico vormt. "De log4j moeilijkheden van de afgelopen weken tonen aan dat … we organisaties nodig hebben om beveiligingspatches toe te passen wanneer deze beschikbaar zijn”, aldus John Bambenek, NetEnrich’s Threat Hunting Principal.
Wanneer patches niet hun beoogde doel dienen, of wanneer ze de normale werking van dingen veranderen, "biedt het de" tegen de prikkel om te patchen waar organisaties een risicomijdende benadering hanteren bij het toepassen van updates,” vertelde hij aan Threatpost on Donderdag. "Downtime is gemakkelijk meetbaar... het toenemende risico van een beveiligingsinbreuk is dat niet, wat betekent dat voorzichtige (in plaats van proactieve) acties voor patching de neiging hebben om te winnen."
Bud Broomhead, chief executive officer bij Viakoo, zei dat de producten van het bedrijf gebruikers in staat stellen een keuze te maken tussen: hun bedrijfsvoering draaiende te houden en hun systemen veiliger te maken door producten te gebruiken met bekende kwetsbaarheden.
“Organisaties maken deze afwegingen elke dag met IoT-apparaten die niet snel (of nooit) worden gepatcht; het is echter ongebruikelijk om dit te zien met Windows Server, omdat er via Windows Update zulke effectieve mechanismen zijn om patches snel te leveren en te installeren.
Voer tests uit vóór de release
Broomhead waarschuwde dat ondanks de rigoureuze testpraktijken van Microsoft, een van de beste manieren om problemen te voorkomen, is om nieuwe updates op één machine te testen voordat ze op grotere schaal worden toegepast.
"Dit kan Windows Server-beheerders helpen om hun specifieke problemen te beoordelen, en hun tolerantie voor het draaien onder die omstandigheden totdat er een stabielere patch beschikbaar is", vertelde hij aan Threatpost.
Horev zei dat dat dichter bij de realiteit staat, maar voegde eraan toe dat "alle media en platforms door de verschuiving zullen worden beïnvloed."
"Ten eerste, zeer zelden worden patches ooit rechtstreeks door Microsoft of een andere leverancier toegepast op dinsdag of wat dan ook op een andere dag, zonder eerst een reeks tests te doorlopen om er zeker van te zijn dat ze geen dingen kapot maken, 'gaf hij aan.
Gezien hoe ingewikkeld het kan zijn om Windows te ondersteunen, zelfs als beveiligingsupdates rechtstreeks uit Redmond komen, is het geen verrassing dat veel bedrijven het moeilijk hebben.
"Het eeuwige compromis tussen veilige en/of stabiele productieomgevingen rust niet alleen omdat de updates van Microsoft komen", aldus Horev.
Heeft u problemen ondervonden met de onlangs uitgebrachte updates? Deel uw mening met ons in de commentaarsectie hieronder.
