Garantire che un sistema sia sicuro è oggi una sfida ancora più complessa che in passato. La stessa fase di autenticazione degli utenti può rappresentare un problema e rivelarsi pericolosa se gestita utilizzando protocolli insicuri: si pensi ad esempio al trasferimento in chiaro attraverso la rete di nomi utente e password via SSH, Telnet o FTP.
Kerberos è un protocollo di rete che facilita l'”autenticazione forte” nelle applicazioni client-server grazie all’utilizzo della crittografia a chiave segreta o simmetrica.
Il protocollo Kerberos è stato ideato e sviluppato in seno al Massachusetts Institute of Technology (MIT) per poi essere abbracciato da Windows, da macOS e dai vari sistemi operativi Unix-like.
Kerberos è stato concepito per porre rimedio all’utilizzo di un canale di comunicazione insicuro, qual è la rete Internet, per la trasmissione di dati importanti. Il protocollo fa in modo che un sistema client possa provare la sua identità a un server (e viceversa) pur utilizzando il canale insicuro. Dopo aver attestato reciprocamente la loro identità, client e server possono comunicare assicurando segretezza e integrità dei dati.
Alcune aggiunte di Microsoft alla suite di protocolli Kerberos sono documentate all’interno di documenti ufficiali e Kerberos viene utilizzato come metodo di autenticazione preferito: quando si collega un client a un dominio Active Directory ciò che accade è che Kerberos viene configurato come protocollo predefinito per l’autenticazione del client e l’utilizzo dei servizi all’interno del dominio Windows.
Dopo la scoperta di diverse vulnerabilità nell’implementazione Microsoft di Kerberos, con le patch di novembre 2022 i tecnici dell’azienda di Redmond sono intervenuti per rafforzare il sistema di autenticazione. Microsoft ha esortato a installare gli aggiornamenti di sicurezza per mettersi al riparo, in azienda, da nuovi rischi di attacco.
L’azienda ha però confermato che applicando le patch rilasciate l’8 novembre 2022 sui server Windows con il ruolo di controller di dominio, la procedura di autenticazione dei client con Kerberos potrebbe non funzionare più correttamente.
Quando si verifica il problema, nel registro degli eventi di Windows (eventvwr.msc
) si nota la presenza di un errore con ID 14 (Microsoft-Windows-Kerberos-Key-Distribution-Center).
Oltre all’impossibilità di autenticarsi, le sessioni di Desktop remoto potrebbero non funzionare così come l’accesso alle risorse condivise e l’utilizzo delle stampanti.
Per risolvere il problema nelle configurazioni affette dalle problematiche descritte, Microsoft ha rilasciato una serie di patch out-of-band destinate alle varie versioni di Windows Server. Le patch sono installabili da oggi attraverso il Microsoft Update Catalog e per il momento non verranno rese disponibili attraverso Windows Update. Per effettuare il download degli aggiornamenti correttivi, basta cercare sull’Update Catalog i seguenti identificativi:
- Windows Server 2022: KB5021656
- Windows Server 2019: KB5021655
- Windows Server 2016: KB5021654
- Windows Server 2012 R2: KB5021653
- Windows Server 2012: KB5021652
- Windows Server 2008 SP2: KB5021657
L’installazione delle patch non richiede alcun intervento lato client. Microsoft ha in programma di risolvere il problema anche su Windows Server 2008 R2 SP1: una patch sarà distribuita nei prossimi giorni.