Серия «Кудахтеры: безопасность и боль»

14

Новые обновления для Windows и Kerberos: будет больно, но вы держитесь1

Серия Кудахтеры: безопасность и боль

Для ЛЛ: опять крутят Kerberos

Только-только вышли обновления для Windows, начиная с

2026-04 Cumulative Update for .NET Framework 3.5 and 4.8.1 for Windows 11, version 25H2 for x64 (KB5082417)

2026-04 Cumulative Update for Windows 11, version 25H2 for x64-based Systems (KB5083769) (26200.8246) (для нормальных людей)

2026-04 Cumulative Update for Windows 11 Version 24H2 for x64-based Systems (KB5083769) (26100.8246) (для любителей всего старого)

Для любителей 2008 и 2008R2 обновлений, кажется, не выходило с нового года, со времен выхода
2026-01 Security Monthly Quality Rollup for Windows Server 2008 for x64-based Systems (KB5073697)
2026-01 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB5073699)

Как снова приходится читать про ошибки, ожидаемые и будущие.

В первую очередь, Microsoft опять выкручивает безопасность, поэтому можно ожидать очередных «плак плак, я не обновлялся с 2003 года, все сломалось»

Почему? Потому что опять нашли дыру, даже больше, чем МЕГА ДЫРА в Linux, от которой старый финн потерял остатки разума

Я про:
Claude Code Used to Find Remotely Exploitable Linux Kernel Vulnerability Hidden for 23 Years

https://www.infoq.com/news/2026/04/claude-code-linux-vulnerability/

Перевод: Claude Code нашёл в ядре Linux уязвимость, скрывавшуюся 23 года

https://www.comss.ru/page.php?id=20163

Финн потерял разум настолько, что теперь можно в ядро тащить всякую гадость: After months of fierce debate, Linus Torvalds and the Linux kernel maintainers have laid down the law on AI-generated code.

https://www.tomshardware.com/software/linux/linux-lays-down-...

Но, сейчас не о нем, а о уязвимостях в винде

Данная деятельность включает в себя эксплуатацию трех уязвимостей под кодовыми названиями BlueHammer (требуется вход через GitHub), RedSun и UnDefend, все из которых были опубликованы как уязвимости нулевого дня исследователем, известным как Chaotic Eclipse (он же Nightmare-Eclipse), в ответ на действия Microsoft в процессе раскрытия информации об уязвимостях.

The activity involves the exploitation of three vulnerabilities that are codenamed BlueHammer (requires GitHub sign-in), RedSun, and UnDefend, all of which were released as zero-days by a researcher known as Chaotic Eclipse (aka Nightmare-Eclipse) in response to Microsoft's handling of the vulnerability disclosure process.

Three Microsoft Defender Zero-Days Actively Exploited; Two Still Unpatched

https://thehackernews.com/2026/04/three-microsoft-defender-zero-days.html

Обновления за апрель исправляют часть проблем, но добавляют проблемы со старым добрым:

Начиная с апреля 2026 года, обновления Windows изменят поведение выдачи билетов Kerberos по умолчанию на AES-SHA1 для учетных записей без явных настроек шифрования, в то время как RC4 по-прежнему можно будет использовать там, где он явно включен. Это изменение, вызванное уязвимостью CVE-2026-20833, затронет все среды Windows Server, где учетные записи служб или устройства по-прежнему используют RC4. Любая учетная запись службы, устройство NAS или устаревшее приложение, не настроенное явно на шифрование AES-SHA1, может потерять возможность аутентификации. В этой статье объясняется, что такое Kerberos и RC4, что перестанет работать в апреле 2026 года и что необходимо сделать для предотвращения сбоев.

Starting in April 2026, Windows updates will change the default Kerberos ticket issuance behavior to AES-SHA1 for accounts without explicit encryption settings, while RC4 can still be used where explicitly enabled. This change, driven by CVE-2026-20833, affects every Windows Server environment where service accounts or devices still rely on RC4. Any service account, NAS device, or legacy application not explicitly configured for AES-SHA1 encryption may lose authentication capability. This article explains what Kerberos and RC4 are, what will break in April 2026, and what you must do to prevent outages.

В журнале безопасности события с идентификаторами 4768 и 4769 описывают запросы билетов Kerberos, но теперь показывают использование или отклонение RC4. Код ошибки 0xE (KDC_ERR_ETYPE_NOSUPP) появляется, когда запрошенный тип шифрования не поддерживается.

В системном журнале новые события KDCSVC в диапазоне 201–209 представляют собой явные сообщения об устаревании RC4: события 201 и 202 отображаются как предупреждения в режиме аудита, в то время как соответствующие события 203 и 204 показывают, что сценарии только с RC4 теперь блокируются, поскольку либо клиент объявляет только RC4, либо у службы отсутствуют ключи AES. События 205 и связанные с ними события предупреждают о том, что в настройках шифрования домена по умолчанию по-прежнему используются слабые типы шифров.

In the Security log, Event IDs 4768 and 4769 describe Kerberos ticket requests but now show RC4 being used or rejected. Error code 0xE (KDC_ERR_ETYPE_NOSUPP) appears when the requested encryption type is not supported.

In the System log, new KDCSVC events in the 201–209 range are the explicit RC4 deprecation messages: Events 201 and 202 appear as warnings in audit mode, while enforcement counterparts 203 and 204 show that RC4-only scenarios are now blocked because either the client only advertises RC4 or the service lacks AES keys. Events 205 and related events warn that domain encryption defaults still include weak cipher types.

Статья с деталями, как именно будет больно

Windows Kerberos RC4 deprecation: what will break in Active Directory and how to fix it

https://4sysops.com/archives/windows-kerberos-rc4-deprecation-what-will-break-in-active-directory-and-how-to-fix-it/

Как было больно в прошлые разы:

You might experience Kerberos and New Technology LAN Manager (NTLM) authentication failures across devices that have duplicate Security IDs (SIDs). This issue might occur in Windows 11, version 24H2, Windows 11, version 25H2, and Windows Server 2025 after installing the Windows updates released on and after:

https://support.microsoft.com/en-us/topic/kerberos-and-ntlm-authentication-failures-due-to-duplicate-sids-76f7394d-c460-4882-9ed1-d27e0960f949

но выбора нет. Патчи ставить надо.

Исключение: если вы работаете в МТС, Аэрофлоте, или в команде Вестника Минцифры (ранее – Хабр). Тогда можно не патчится.

Статьи по теме

Windows Kerberos RC4 deprecation: what will break in Active Directory and how to fix it

https://4sysops.com/archives/windows-kerberos-rc4-deprecation-what-will-break-in-active-directory-and-how-to-fix-it/

Windows Kerberos hardening may cause authentication issues for some PCs next month

Windows 11's April 2026 update could quietly break logins on some PCs as Microsoft flips a major Kerberos security switch.

https://www.neowin.net/news/windows-kerberos-hardening-may-cause-authentication-issues-for-some-pcs-next-month/

Windows 11 January 2026 update breaks universal print

https://techcommunity.microsoft.com/discussions/universalprintdiscussions/windows-11-january-2026-update-breaks-universal-print/4494155

Обновление Windows 11 напрочь сломало все современные принтеры. Решение есть, но крайне сложное, неудобное и не всем доступное

https://www.cnews.ru/news/top/2025-03-12_obnovlenie_windows_11_naproch

Important Starting July 2023, Enforcement mode will be enabled on all Windows domain controllers and will block vulnerable connections from non-compliant devices.  At that time, you will not be able to disable the update, but may move back to the Audit mode setting. Audit mode will be removed in October 2023, as outlined in the Timing of updates to address Kerberos vulnerability CVE-2022-37967 section.

KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967

https://support.microsoft.com/en-gb/topic/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb

Windows updates released today, October 10, 2023, and later, conclude the rollout of security enforcement to protect Windows Server domain controllers (DC) against a Kerberos security bypass vulnerability. This vulnerability also involves an elevation of privilege scenario and alteration of Privilege Attribute Certificate (PAC) signatures. All domain-joined, machine accounts are affected by these vulnerabilities.

Security hardening changes for Kerberos effective with the October 10, 2023 Windows Update

https://m365admin.handsontek.net/security-hardening-changes-for-kerberos-effective-with-the-october-10-2023-windows-update/

Reddit: Windows 11 22H2 breaks NPS RADIUS via computer accounts

Reddit: 802.1x authentication broken after Windows 11 upgrade

PS. Будет почти так же больно, как в мае 2022:

After installing updates released May 10, 2022 on your domain controllers, you might see machine certificate authentication failures on the server or client for services such as Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP), and Protected Extensible Authentication Protocol (PEAP). An issue has been found related to how the mapping of certificates to machine accounts is being handled by the domain controller.

Note Installation of updates released May 10, 2022, on client Windows devices and non-domain controller Windows Servers will not cause this issue. This issue only affects installation of May 10, 2022, updates installed on servers used as domain controllers.

https://support.microsoft.com/en-us/topic/may-10-2022-kb5013...

Показать полностью
6

Windows RC4: июльский кумулятив 2026

Серия Кудахтеры: безопасность и боль

Для ЛЛ: в июльском кумулятиве выключают старое шифрование - RC4

Этап 3 — Полное вступление в силу (июль 2026 г.)

Этот заключительный этап начинается с выпуска обновлений безопасности в июле 2026 года и знаменует собой окончание переходного периода.
На этом этапе:
отменяется режим «только аудит» (audit-only mode);
система перестает считывать временное значение реестра `RC4DefaultDisablementPhase`;
для параметра `DefaultDomainSupportedEncTypes` устанавливается значение по умолчанию, соответствующее только шифрованию AES-SHA1 (0x18).

При такой конфигурации протокол Kerberos будет выдавать билеты RC4 только в том случае, если это явно настроено для конкретной учетной записи с помощью атрибута `msDS-SupportedEncryptionTypes`.

Организации, не принявшие заблаговременных мер в отношении использования RC4, столкнутся с постоянными сбоями в работе устаревших систем и приложений, не поддерживающих шифрование AES.

Всех предупредили, и давно.
Даже я писал - Новые обновления для Windows и Kerberos: будет больно, но вы держитесь

Что делать? Читать!


https://techcommunity.microsoft.com/blog/coreinfrastructurea...

https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/how-to-manage-rc4-hardening-–-definitive-guide/4515923

Windows Kerberos RC4 deprecation: what will break in Active Directory and how to fix it

https://4sysops.com/archives/windows-kerberos-rc4-deprecation-what-will-break-in-active-directory-and-how-to-fix-it/

Windows Kerberos hardening may cause authentication issues for some PCs next month

Windows 11's April 2026 update could quietly break logins on some PCs as Microsoft flips a major Kerberos security switch.

https://www.neowin.net/news/windows-kerberos-hardening-may-cause-authentication-issues-for-some-pcs-next-month/

Что было написано раньше:

Начиная с апреля 2026 года, обновления Windows изменят поведение выдачи билетов Kerberos по умолчанию на AES-SHA1 для учетных записей без явных настроек шифрования, в то время как RC4 по-прежнему можно будет использовать там, где он явно включен. Это изменение, вызванное уязвимостью CVE-2026-20833, затронет все среды Windows Server, где учетные записи служб или устройства по-прежнему используют RC4. Любая учетная запись службы, устройство NAS или устаревшее приложение, не настроенное явно на шифрование AES-SHA1, может потерять возможность аутентификации. В этой статье объясняется, что такое Kerberos и RC4, что перестанет работать в апреле 2026 года и что необходимо сделать для предотвращения сбоев.

Starting in April 2026, Windows updates will change the default Kerberos ticket issuance behavior to AES-SHA1 for accounts without explicit encryption settings, while RC4 can still be used where explicitly enabled. This change, driven by CVE-2026-20833, affects every Windows Server environment where service accounts or devices still rely on RC4. Any service account, NAS device, or legacy application not explicitly configured for AES-SHA1 encryption may lose authentication capability. This article explains what Kerberos and RC4 are, what will break in April 2026, and what you must do to prevent outages.

В журнале безопасности события с идентификаторами 4768 и 4769 описывают запросы билетов Kerberos, но теперь показывают использование или отклонение RC4. Код ошибки 0xE (KDC_ERR_ETYPE_NOSUPP) появляется, когда запрошенный тип шифрования не поддерживается.

В системном журнале новые события KDCSVC в диапазоне 201–209 представляют собой явные сообщения об устаревании RC4: события 201 и 202 отображаются как предупреждения в режиме аудита, в то время как соответствующие события 203 и 204 показывают, что сценарии только с RC4 теперь блокируются, поскольку либо клиент объявляет только RC4, либо у службы отсутствуют ключи AES. События 205 и связанные с ними события предупреждают о том, что в настройках шифрования домена по умолчанию по-прежнему используются слабые типы шифров.

In the Security log, Event IDs 4768 and 4769 describe Kerberos ticket requests but now show RC4 being used or rejected. Error code 0xE (KDC_ERR_ETYPE_NOSUPP) appears when the requested encryption type is not supported.

In the System log, new KDCSVC events in the 201–209 range are the explicit RC4 deprecation messages: Events 201 and 202 appear as warnings in audit mode, while enforcement counterparts 203 and 204 show that RC4-only scenarios are now blocked because either the client only advertises RC4 or the service lacks AES keys. Events 205 and related events warn that domain encryption defaults still include weak cipher types.

Статья с деталями, как именно будет больно

Windows Kerberos RC4 deprecation: what will break in Active Directory and how to fix it

https://4sysops.com/archives/windows-kerberos-rc4-deprecation-what-will-break-in-active-directory-and-how-to-fix-it/

Как было больно в прошлые разы:

You might experience Kerberos and New Technology LAN Manager (NTLM) authentication failures across devices that have duplicate Security IDs (SIDs). This issue might occur in Windows 11, version 24H2, Windows 11, version 25H2, and Windows Server 2025 after installing the Windows updates released on and after:

https://support.microsoft.com/en-us/topic/kerberos-and-ntlm-authentication-failures-due-to-duplicate-sids-76f7394d-c460-4882-9ed1-d27e0960f949

но выбора нет. Патчи ставить надо.

Показать полностью
Отличная работа, все прочитано!

Темы

Политика

Теги

Популярные авторы

Сообщества

18+

Теги

Популярные авторы

Сообщества

Игры

Теги

Популярные авторы

Сообщества

Юмор

Теги

Популярные авторы

Сообщества

Отношения

Теги

Популярные авторы

Сообщества

Здоровье

Теги

Популярные авторы

Сообщества

Путешествия

Теги

Популярные авторы

Сообщества

Спорт

Теги

Популярные авторы

Сообщества

Хобби

Теги

Популярные авторы

Сообщества

Сервис

Теги

Популярные авторы

Сообщества

Природа

Теги

Популярные авторы

Сообщества

Бизнес

Теги

Популярные авторы

Сообщества

Транспорт

Теги

Популярные авторы

Сообщества

Общение

Теги

Популярные авторы

Сообщества

Юриспруденция

Теги

Популярные авторы

Сообщества

Наука

Теги

Популярные авторы

Сообщества

IT

Теги

Популярные авторы

Сообщества

Животные

Теги

Популярные авторы

Сообщества

Кино и сериалы

Теги

Популярные авторы

Сообщества

Экономика

Теги

Популярные авторы

Сообщества

Кулинария

Теги

Популярные авторы

Сообщества

История

Теги

Популярные авторы

Сообщества

Недвижимость и ремонт

Теги

Популярные авторы

Сообщества