Un memory leak è un problema piuttosto comune nei programmi informatici e ha a che fare con una scorretta gestione del contenuto della memoria. Il fenomeno si verifica quando una porzione di memoria allocata dinamicamente non viene liberata quando non più necessaria. Questo può portare a un graduale esaurimento delle risorse di memoria disponibili sul sistema in uso. Sebbene non rappresentino un problema di sicurezza in senso stretto, abbiamo voluto citare i memory leak nell’articolo incentrato sulle vulnerabilità nella gestione della memoria. Ad esse è riconducibile la maggior parte delle “debolezze” che affliggono i software che tutti noi utilizziamo.
Memory leak introdotti con le patch Microsoft di marzo 2024 causano problemi con i controller di dominio Windows Server
A seguito delle tante segnalazioni pervenute dagli amministratori IT e dopo le verifiche protrattesi per alcuni giorni, Microsoft ha confermato l’esistenza di memory leak introdotti con gli aggiornamenti di sicurezza di marzo 2024. Le patch messe a disposizione degli utenti una decina di giorni fa, provocano l’arresto anomalo dei controller di dominio Windows.
I server interessati vanno in crash mostrando una schermata blu (BSoD) quindi, per impostazione predefinita, si riavviano automaticamente.
Nello specifico, il memory leak affligge il processo Local Security Authority Subsystem Service (LSASS) ed è stato appunto introdotto con gli aggiornamenti cumulativi di questo mese. LSASS è un componente fondamentale del sistema operativo Windows. Svolge diverse funzioni critiche relative alla sicurezza e all’autenticazione, si occupa della gestione delle credenziali e dei token di accesso, ha il compito di applicare le policy di sicurezza locali, inclusi i criteri relativi all’utilizzo della password.
Dopo l’installazione degli aggiornamenti Microsoft di marzo 2024, la maggior parte dei controller di dominio Windows Server mostra un utilizzo della memoria per il processo LSASS in costante aumento, fino al “blocco” e alla morte del processo stesso.
Le piattaforme interessate dal problema e come evitare il crash di Windows Server
Con la pubblicazione di una nota ufficiale, Microsoft ha confermato l’esistenza della problematica osservando che le piattaforme interessate sono tutti i controller di dominio basati su Windows Server 2012 R2, 2016, 2019 e 2022.
L’azienda di Redmond precisa che il fenomeno di memory leak è osservabile quando i controller di dominio Active Directory locali e basati sul cloud si trovano a soddisfare richieste di autenticazione Kerberos. A questo punto può effettivamente verificarsi l’arresto anomalo del processo LSASS, che a sua volta attiva un riavvio non pianificato dei controller di dominio.
Microsoft aggiunge di aver identificato la causa principale ed essere al lavoro su una patch correttiva, che sarà rilasciata a breve.
Fino a quando gli ingegneri software di Redmond non avranno rilasciato un aggiornamento “ad hoc”, è consigliabile provvedere semplicemente con la disinstallazione degli aggiornamenti che hanno introdotto il problema. Per procedere in tal senso, basta digitare cmd
nella casella di ricerca di Windows quindi scegliere Esegui come amministratore. A questo punto si possono digitare i seguenti comandi:
wusa /uninstall /kb:5035855
wusa /uninstall /kb:5035849
wusa /uninstall /kb:5035857
Non tutti i comandi andranno a buon fine: ciò dipende dalla specifica versione di Windows Server che risulta installata. Consigliamo comunque di impartire tutte le tre istruzioni in modo da avere la certezza di rimuovere l’aggiornamento cumulativo di marzo 2024 destinato al proprio sistema.
Microsoft rilascia gli aggiornamenti correttivi
Per risolvere definitivamente il problema, i tecnici dell’azienda di Redmond hanno pubblicato alcuni aggiornamenti Out-of-Band (OOB), ovvero al di fuori dell’abituale ciclo di rilascio mensile. Installandoli, è possibile evitare il crash dei sistemi Windows Server:
Credit immagine in apertura: Microsoft.