Il Patch Tuesday del 10 maggio ha creato diversi problemi agli utenti, tra cui l’impossibilità di effettuare l’autenticazione ad alcuni servizi sui server usati come controller di dominio. Considerata la gravità del bug, introdotto dagli aggiornamenti cumulativi KB5013943 per Windows 11 e KB5013942 per Windows 10, la CISA (Cybersecurity and Infrastructure Security Agency) degli Stati Uniti ha consigliato di non installare gli update.
Meglio il rischio di sicurezza che il bug
In base ad una specifica direttiva, la CISA invita tutte le agenzie governative ad installare le patch di Windows entro tre settimane dalla loro distribuzione. Questa era dunque l’indicazione anche per gli update rilasciati da Microsoft lo scorso 10 maggio. Purtroppo (o per fortuna, dipende dai punti di vista), l’azienda di Redmond sviluppa aggiornamenti cumulativi che includono i fix per numerosi problemi di sicurezza, quindi gli amministratori IT non possono scegliere le patch singole.
L’unico modo per evitare il bug relativo all’autenticazione è non installare gli update KB5013943 e KB5013942. In realtà esiste un workaround temporaneo, ovvero la mappatura manuale dei certificati agli account in Active Directory, ma la procedura è poco praticabile. La CISA sottolinea che il bug non riguarda i client Windows né i server non usati come controller di dominio, pertanto l’installazione delle patch è fortemente consigliata.
Una delle vulnerabilità risolte con l’aggiornamento cumulativo, identificata con CVE-2022-26925, è stata già sfruttata per eseguire attacchi NTLM Relay con PetitPotam che consentono di effettuare l’autenticazione attraverso il protocollo Windows NT LAN Manager e guadagnare il controllo dell’intero dominio. La CISA crede però che il bug introdotto dalle patch sia più grave del problema di sicurezza.