fbpx

Como podemos te ajudar hoje?

Compartilhamentos em branco com logon SSO causados pelo Windows Update

Você está aqui:
< Voltar

This incident occured in November of 2011, with a patch in late November and final fixes in the roll up releases for December and January. As of Summer 2022 no further incidents of this have occured nor are any expected, as the updates that caused it are no longer current.

We retain this article for archival purposes, but it is not an active incident nor a common cause of share issues with MyWorkDrive.

Observação: a Microsoft lançou uma correção com a atualização cumulativa de dezembro

De acordo com o Catálogo de Atualizações da Micosoft, a atualização fora de banda KB5008601 (2016) foi substituída pela CU KB5008207 de dezembro. A atualização fora de banda KB5008602 (2019) foi substituída por dezembro CU KB5008218. Portanto, você pode pular a atualização fora de banda e ir direto para a atualização cumulativa de dezembro.

Se você instalou a atualização de novembro e está tendo problemas ao fazer login com o SSO, a CU de dezembro resolverá o problema.

Se você não instalou nenhuma atualização, a CU de dezembro fornecerá a atualização sem causar problemas para logins de SSO.

 

Descrição do Problema

Uma atualização lançada pela Microsoft em 9 de novembro como parte do Patch Tuesday continha uma falha que quebrou a autenticação Kerberos, que é usada por muitos produtos SSO, incluindo MyWorkDrive, quando a atualização é instalada em controladores de domínio. Foi em resposta a CVE-2021-42287

Os clientes afetados terão logins do Web Client mostrando nenhum compartilhamento disponível após o login e os clientes Map Drive falhando ao fazer login e relatando "Nenhum compartilhamento provisionado" ou um erro "Usuário não encontrado" (dependendo da versão do cliente Map Drive).

 

Detalhes sobre a falha e a resolução da falha estão disponíveis aqui
https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

 

O problema só está presente quando a atualização é instalada em Controladores de domínio. A instalação/remoção de servidores MyWorkDrive e servidores de arquivos não tem relação com o problema.

 

Patches atualizados foram lançados em 14 de novembro para corrigir o problema nas atualizações anteriores com falhas e devem ser instalados nos controladores de domínio. Eles devem ser baixados e instalados manualmente, não são fornecidos pelo Microsoft Update.

KB5008602 para Servidor 2019:

https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1809-and-windows-server-2019#2748msgdesc

KB5008601 para Servidor 2016:

https://docs.microsoft.com/en-ca/windows/release-health/status-windows-10-1607-and-windows-server-2016#2748msgdesc

 

As atualizações originais que causam o problema são:

KB5007206 para o servidor 2019.
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007206-os-build-17763-2300-c63b76fa-a9b4-4685-b17c-7d866bb50e48

KB5007192 para servidor 2016
https://support.microsoft.com/en-us/topic/november-9-2021-kb5007192-os-build-14393-4770-f534a33a-ed00-4bd2-8248-9424c53e9bde

Se um deles estiver instalado em seus controladores de domínio, você precisará removê-los ou instalar o patch vinculado acima para corrigir o problema.

 

Se seus controladores de domínio não forem 2016/2019, links para atualização e patch para outras versões do Windows podem ser encontrados aqui:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287

Server 2008, 2008r2, 2012 e 2012r2 são todos afetados.

 

Identificando um DC com o bug

Os EventIDs que indicam que um controlador de domínio tem a atualização, mas não a correção, incluem

https://support.microsoft.com/en-gb/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041

35
Origem do evento
KdcsvcGenericName
ID do evento
35
Texto do evento
O Centro de Distribuição de Chaves (KDC) encontrou um ticket de concessão de tíquete (TGT) de outro KDC (“ ”) que não continha um campo de atributos do PAC.
36
Origem do evento
KdcsvcGenericName
ID do evento
36
Texto do evento
O Key Distribution Center (KDC) encontrou um ticket que não continha um PAC ao processar uma solicitação para outro ticket. Isso impedia a execução de verificações de segurança e poderia abrir vulnerabilidades de segurança.
Cliente: \
Bilhete para:
37
Origem do evento
KdcsvcGenericName
ID do evento
37
Texto do evento
O Key Distribution Center (KDC) encontrou um tíquete que não continha informações sobre a conta que solicitou o tíquete ao processar uma solicitação de outro tíquete. Isso impedia a execução de verificações de segurança e poderia abrir vulnerabilidades de segurança.
Ticket PAC construído por:
Cliente: \
Bilhete para:
38
ID do evento
38
Texto do evento
O Key Distribution Center (KDC) encontrou um ticket que continha informações inconsistentes sobre a conta que solicitou o ticket. Isso pode significar que a conta foi renomeada desde que o bilhete foi emitido, o que pode ter sido parte de uma tentativa de exploração.
Ticket PAC construído por:
Cliente: \
Bilhete para:
Solicitando o SID da conta do Active Directory:
Solicitando o SID da conta do ticket:

Ao contrário de algumas falhas nos patches/atualizações da Microsoft, este não é um caso em que você pode ser afetado. Você será impactado se usar o SSO e instalar as atualizações do Windows sem instalar o patch para corrigi-lo.

Se você encontrar compartilhamentos em branco ao usar o SSO, enquanto os logins de credenciais de domínio mostram compartilhamentos, primeiro verifique se você delegação habilitada corretamente. Se a delegação estiver habilitada corretamente, verifique seu controlador de domínio para ver se o KB associado à atualização está instalado. Nesse caso, instale os Patches para resolver o problema.