Quelle: microsoft.com
Microsoft untersucht LSASS-Speicherlecks (verursacht durch Windows Server-Updates, die während des November-Patch-Dienstags veröffentlicht wurden), die auf einigen Domänencontrollern zum Einfrieren und Neustart führen können.
LSASS (kurz für Local Security Authority Subsystem Service) ist für die Durchsetzung von Sicherheitsrichtlinien auf Windows-Systemen zuständig und verwaltet die Erstellung von Zugriffstoken, Kennwortänderungen und Benutzeranmeldungen.
Wenn dieser Dienst abstürzt, verlieren angemeldete Benutzer sofort den Zugriff auf die Windows-Konten auf dem Computer, und es wird ein Fehler beim Neustart des Systems angezeigt, gefolgt von einem Neustart des Systems.
"LSASS kann im Laufe der Zeit mehr Arbeitsspeicher verbrauchen, so dass der DC möglicherweise nicht mehr reagiert und neu startet", erklärt Microsoft auf dem Windows Health Dashboard.
"Abhängig von der Arbeitslast Ihrer DCs und der Zeit, die seit dem letzten Neustart des Servers verstrichen ist, kann LSASS die Speichernutzung mit der Betriebszeit Ihres Servers kontinuierlich erhöhen und der Server kann unempfindlich werden oder automatisch neu starten."
Redmond sagt, dass Out-of-Band-Windows-Updates, die zur Behebung von Authentifizierungsproblemen auf Windows-Domänencontrollern herausgegeben wurden, ebenfalls von diesem bekannten Problem betroffen sein könnten.
Die vollständige Liste der betroffenen Windows-Versionen umfasst Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2.
Microsoft arbeitet an einer Lösung und sagt, dass es ein Update mit einer kommenden Version bereitstellen wird.
Umgehung verfügbar
Bis eine Lösung für das LSASS-Speicherleck verfügbar ist, bietet das Unternehmen auch eine temporäre Lösung an, die es IT-Administratoren ermöglicht, die Instabilität des Domänencontrollers zu umgehen.
Dieser Workaround erfordert, dass Administratoren den KrbtgtFullPacSignature-Registrierungsschlüssel (der verwendet wird, um CVE-2022-37967 Kerberos-Protokolländerungen zu verhindern) mit dem folgenden Befehl auf 0 setzen:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
"Sobald dieses bekannte Problem behoben ist, sollten Sie KrbtgtFullPacSignature auf eine höhere Einstellung setzen, je nachdem, was Ihre Umgebung zulässt", so Microsoft weiter.
"Es wird empfohlen, den Enforcement-Modus zu aktivieren, sobald Ihre Umgebung bereit ist. Weitere Informationen zu diesem Registrierungsschlüssel finden Sie unter KB5020805: Wie verwalte ich Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37967".
Im März behoben die Redmonder ein weiteres bekanntes Problem, das zu Windows Server-Domänencontroller-Neustarts aufgrund von LSASS-Abstürzen führte.