Windows Server

2024(e)ko apirilaren 1(a) Celia Catalán

Martxoaren 12an, Microsoft-ek bere domeinu-kontrolatzaileei eragiten dien arazoak sortzen dituen Windows Server 2022 zerbitzurako eguneraketa bat kaleratu zuen.

Erabiltzaile askok Reedit-en ohartarazi zuten egun hartatik, zerbitzariak izoztu eta ustekabean berrabiarazi egiten dira LSASS (Local Security Authority Subsystem Service) prozesuan memoria-filtrazio baten ondorioz.

Arazo zehatza hauxe da jakinarazi duten erabiltzaileen arabera: "Martxoko eguneraketak (Exchange eta ohiko Windows Server eguneraketak) instalatu zirenetik, gure DC gehienek LSASS memoria-erabilera etengabe handitzen dute (hil arte)".

LSASS zerbitzua Windows sistemetan segurtasun politika ezartzeaz arduratzen den prozesua da: erabiltzaileak saioa hasten dela egiaztatzen du, pasahitz aldaketak kudeatzen ditu eta sarbide-tokenak sortzen ditu. Zerbitzua behartuta erabiltzea baldintzek eragin dezakete:

Kanpoko konfiantza asko eta aldibereko saioa hasteko eskaera asko dituzu.

Saioa hasteko eskaera hauek ez dute domeinu-izena zehazten.

Horrek atzerapenak edo hutsegiteak sor ditzake sistema autentifikatzean edo sistemaren memoria erabiltzeko mugara iristen denean berrabiarazi ere.

Arazo honek asko alarmatzen ditu erabiltzaileak, sistemaren fitxategi erabakigarria izanik, askotan malwareak faltsutzen duelako. Zerbitzu hau Windows\System32 direktoriotik exekutatzen da, beraz, beste direktorio batetik exekutatzen bada, ziurrenik birusa izango da.

Erlazionatutako eguneraketak KB5035855 (Windows Server 2016) eta KB5035857 (Windows Server 2022) dira, baina, martxoaren 20an, Microsoft-ek onartu zuen arazoa domeinu-kontrolatzaileen zerbitzari guztiei eragiten diela azken eguneratzeekin: Windows Server 2022, 2019, 2016 eta R22012.

Microsoft-en arabera: "Hau ikusten da lokaletan eta hodeian oinarritutako Active Directory domeinu-kontrolatzaileek Kerberos autentifikazio-eskaerei zerbitzua ematen dietenean. Muturreko memoria-ihesek LSASS huts egitea eragin dezakete, azpiko domeinu-kontrolatzaileen (DC) programatu gabeko berrabiaraztea eraginez.

Behin-behineko erremedioa

Artikulu hau idaztean, Microsoft-ek oraindik ez du argitaratu memoria-ihesaren arazo larri honen konponbiderik eta momentuz behin-behineko irtenbidea ez da zerbitzuak eguneratzea edo aurreko eguneratze batera itzultzea dagoeneko eguneratuta egon badira.

Horretarako, terminala administratzaile-baimenekin erabili behar duzu eta kaltetutako domeinu-kontrolagailuetan zein eguneratze instalatu den arabera, komando hauetako bat exekutatu behar duzu:

beraz, /desinstalatu /kb:5035855

beraz, /desinstalatu /kb:5035849

beraz, /desinstalatu /kb:5035857

Ondorioa

LSASS prozesuaren arazo hau ez da berria, hainbat alditan gertatu da, hala nola:

2022ko azaroan, Microsoft-ek zerbitzariei eragiten dien eguneraketa bat kaleratu zuen, izoztu eta berrabiaraziz.

2022ko martxoan, Microsoft-ek beste LSASS akats bat konpondu zuen Windows Server DC-etan berrabiarazi zuena.

Microsoft-ek bere adabaki irtenbideekin nola lan egiten duen aztertuta, denak adierazten du arazo hau datorren apirileko eguneratzean konponduko dela.

Javier Muñoz , Zerolynxeko zibersegurtasun analista .

Itzuli blogera