Windows Server, autenticazione Kerberos in crisi dopo gli aggiornamenti di aprile
Microsoft ha confermato che gli aggiornamenti rilasciati l'8 aprile 2025 stanno causando problemi di autenticazione sui controller di dominio Active Directory in Windows Server, specialmente in ambienti che utilizzano Kerberos con certificati digitali.
Microsoft ha confermato che gli aggiornamenti di sicurezza distribuiti l’8 aprile 2025 stanno generando problemi di autenticazione sui controller di dominio Active Directory, colpendo in particolare l’autenticazione tramite credenziali gestite sui sistemi Windows Server.
Le piattaforme interessate includono Windows Server 2016, 2019, 2022 e la più recente versione 2025. La problematica non impatta gli utenti domestici, in quanto i controller di dominio sono una componente critica delle infrastrutture IT aziendali, responsabili della gestione dell’identità e dell’accesso centralizzato.
Quando si manifesta il problema di autenticazione su Windows Server
Secondo Microsoft, l’anomalia si manifesta dopo l’installazione dell’aggiornamento cumulativo KB5055523 e successivi, colpendo in particolare i meccanismi di autenticazione che si basano su:
- Windows Hello for Business (WHfB) con modello **Key Trust
- Device Public Key Authentication
- Sistemi di autenticazione che sfruttano il campo
msds-KeyCredentialLinkin Active Directory
Queste architetture fanno largo uso di PKINIT (Public Key Cryptography for Initial Authentication), il protocollo Kerberos che consente l’uso di certificati per autenticarsi, e sono fondamentali per le moderne implementazioni di Single Sign-On, la gestione dell’identità aziendale e l’utilizzo delle smart card.
Protocollo Kerberos sotto pressione: la radice del problema
Il malfunzionamento non è casuale: Microsoft ha correlato l’instabilità a una patch introdotta per mitigare gli effetti della vulnerabilità CVE-2025-26647, classificata ad alta gravità.
La falla in questione risiede in una validazione impropria degli input all’interno di Kerberos, consentendo a un attaccante autenticato di ottenere privilegi elevati sfruttando l’attribuzione impropria di diritti da parte del Key Distribution Center (KDC).
Un aggressore in possesso di un certificato contenente uno specifico Subject Key Identifier (SKI) potrebbe richiedere e ottenere il “via libera” da parte di Kerberos (Ticket Granting Ticket, TGT) per impersonare un altro utente.
Kerberos, che ha rimpiazzato NTLM come protocollo di autenticazione predefinito nelle reti aziendali Windows, è tuttavia tornato al centro delle preoccupazioni per la sicurezza e l’affidabilità.
Gli impatti non si limitano, purtoppo, al solo login utente. I problemi si estendono ai meccanismi di delegazione Kerberos. Molti ambienti aziendali, in particolare quelli con infrastrutture ibride o distribuite, si basano su queste funzionalità per orchestrare l’accesso alle risorse tra servizi. Eventuali malfunzionamenti possono bloccare l’erogazione di servizi critici.
Soluzione temporanea e raccomandazioni
Microsoft suggerisce una soluzione temporanea al problema intervenendo su uno specifico valore del registro di sistema. Per applicare l’intervento, basta aprire il prompt dei comandi con i diritti di amministratore, quindi digitare quanto segue:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Kdc /v AllowNtAuthPolicyBypass /t REG_DWORD /d 1 /f
La modifica interviene sul comportamento del KDC, ripristinando una modalità più permissiva che disabilita l’applicazione rigida della nuova policy introdotta per mitigare CVE-2025-26647. È tuttavia una soluzione temporanea che abbassa il livello di sicurezza e va valutata con attenzione.
Credit immagine in apertura: Microsoft
