Новые обновления для Windows и Kerberos: будет больно, но вы держитесь1
Для ЛЛ: опять крутят Kerberos
Только-только вышли обновления для Windows, начиная с
2026-04 Cumulative Update for .NET Framework 3.5 and 4.8.1 for Windows 11, version 25H2 for x64 (KB5082417)
2026-04 Cumulative Update for Windows 11, version 25H2 for x64-based Systems (KB5083769) (26200.8246) (для нормальных людей)
2026-04 Cumulative Update for Windows 11 Version 24H2 for x64-based Systems (KB5083769) (26100.8246) (для любителей всего старого)
Для любителей 2008 и 2008R2 обновлений, кажется, не выходило с нового года, со времен выхода
2026-01 Security Monthly Quality Rollup for Windows Server 2008 for x64-based Systems (KB5073697)
2026-01 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB5073699)
Как снова приходится читать про ошибки, ожидаемые и будущие.
В первую очередь, Microsoft опять выкручивает безопасность, поэтому можно ожидать очередных «плак плак, я не обновлялся с 2003 года, все сломалось»
Почему? Потому что опять нашли дыру, даже больше, чем МЕГА ДЫРА в Linux, от которой старый финн потерял остатки разума
Я про:
Claude Code Used to Find Remotely Exploitable Linux Kernel Vulnerability Hidden for 23 Years
Перевод: Claude Code нашёл в ядре Linux уязвимость, скрывавшуюся 23 года
Финн потерял разум настолько, что теперь можно в ядро тащить всякую гадость: After months of fierce debate, Linus Torvalds and the Linux kernel maintainers have laid down the law on AI-generated code.
Но, сейчас не о нем, а о уязвимостях в винде
Данная деятельность включает в себя эксплуатацию трех уязвимостей под кодовыми названиями BlueHammer (требуется вход через GitHub), RedSun и UnDefend, все из которых были опубликованы как уязвимости нулевого дня исследователем, известным как Chaotic Eclipse (он же Nightmare-Eclipse), в ответ на действия Microsoft в процессе раскрытия информации об уязвимостях.
The activity involves the exploitation of three vulnerabilities that are codenamed BlueHammer (requires GitHub sign-in), RedSun, and UnDefend, all of which were released as zero-days by a researcher known as Chaotic Eclipse (aka Nightmare-Eclipse) in response to Microsoft's handling of the vulnerability disclosure process.
Three Microsoft Defender Zero-Days Actively Exploited; Two Still Unpatched
Обновления за апрель исправляют часть проблем, но добавляют проблемы со старым добрым:
Начиная с апреля 2026 года, обновления Windows изменят поведение выдачи билетов Kerberos по умолчанию на AES-SHA1 для учетных записей без явных настроек шифрования, в то время как RC4 по-прежнему можно будет использовать там, где он явно включен. Это изменение, вызванное уязвимостью CVE-2026-20833, затронет все среды Windows Server, где учетные записи служб или устройства по-прежнему используют RC4. Любая учетная запись службы, устройство NAS или устаревшее приложение, не настроенное явно на шифрование AES-SHA1, может потерять возможность аутентификации. В этой статье объясняется, что такое Kerberos и RC4, что перестанет работать в апреле 2026 года и что необходимо сделать для предотвращения сбоев.
Starting in April 2026, Windows updates will change the default Kerberos ticket issuance behavior to AES-SHA1 for accounts without explicit encryption settings, while RC4 can still be used where explicitly enabled. This change, driven by CVE-2026-20833, affects every Windows Server environment where service accounts or devices still rely on RC4. Any service account, NAS device, or legacy application not explicitly configured for AES-SHA1 encryption may lose authentication capability. This article explains what Kerberos and RC4 are, what will break in April 2026, and what you must do to prevent outages.
В журнале безопасности события с идентификаторами 4768 и 4769 описывают запросы билетов Kerberos, но теперь показывают использование или отклонение RC4. Код ошибки 0xE (KDC_ERR_ETYPE_NOSUPP) появляется, когда запрошенный тип шифрования не поддерживается.
В системном журнале новые события KDCSVC в диапазоне 201–209 представляют собой явные сообщения об устаревании RC4: события 201 и 202 отображаются как предупреждения в режиме аудита, в то время как соответствующие события 203 и 204 показывают, что сценарии только с RC4 теперь блокируются, поскольку либо клиент объявляет только RC4, либо у службы отсутствуют ключи AES. События 205 и связанные с ними события предупреждают о том, что в настройках шифрования домена по умолчанию по-прежнему используются слабые типы шифров.
In the Security log, Event IDs 4768 and 4769 describe Kerberos ticket requests but now show RC4 being used or rejected. Error code 0xE (KDC_ERR_ETYPE_NOSUPP) appears when the requested encryption type is not supported.
In the System log, new KDCSVC events in the 201–209 range are the explicit RC4 deprecation messages: Events 201 and 202 appear as warnings in audit mode, while enforcement counterparts 203 and 204 show that RC4-only scenarios are now blocked because either the client only advertises RC4 or the service lacks AES keys. Events 205 and related events warn that domain encryption defaults still include weak cipher types.
Статья с деталями, как именно будет больно
Windows Kerberos RC4 deprecation: what will break in Active Directory and how to fix it
Как было больно в прошлые разы:
You might experience Kerberos and New Technology LAN Manager (NTLM) authentication failures across devices that have duplicate Security IDs (SIDs). This issue might occur in Windows 11, version 24H2, Windows 11, version 25H2, and Windows Server 2025 after installing the Windows updates released on and after:
но выбора нет. Патчи ставить надо.
Исключение: если вы работаете в МТС, Аэрофлоте, или в команде Вестника Минцифры (ранее – Хабр). Тогда можно не патчится.
Статьи по теме
Windows Kerberos RC4 deprecation: what will break in Active Directory and how to fix it
Windows Kerberos hardening may cause authentication issues for some PCs next month
Windows 11's April 2026 update could quietly break logins on some PCs as Microsoft flips a major Kerberos security switch.
Windows 11 January 2026 update breaks universal print
Обновление Windows 11 напрочь сломало все современные принтеры. Решение есть, но крайне сложное, неудобное и не всем доступное
Important Starting July 2023, Enforcement mode will be enabled on all Windows domain controllers and will block vulnerable connections from non-compliant devices. At that time, you will not be able to disable the update, but may move back to the Audit mode setting. Audit mode will be removed in October 2023, as outlined in the Timing of updates to address Kerberos vulnerability CVE-2022-37967 section.
KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967
Windows updates released today, October 10, 2023, and later, conclude the rollout of security enforcement to protect Windows Server domain controllers (DC) against a Kerberos security bypass vulnerability. This vulnerability also involves an elevation of privilege scenario and alteration of Privilege Attribute Certificate (PAC) signatures. All domain-joined, machine accounts are affected by these vulnerabilities.
Security hardening changes for Kerberos effective with the October 10, 2023 Windows Update
Reddit: Windows 11 22H2 breaks NPS RADIUS via computer accounts
Reddit: 802.1x authentication broken after Windows 11 upgrade
PS. Будет почти так же больно, как в мае 2022:
After installing updates released May 10, 2022 on your domain controllers, you might see machine certificate authentication failures on the server or client for services such as Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP), and Protected Extensible Authentication Protocol (PEAP). An issue has been found related to how the mapping of certificates to machine accounts is being handled by the domain controller.
Note Installation of updates released May 10, 2022, on client Windows devices and non-domain controller Windows Servers will not cause this issue. This issue only affects installation of May 10, 2022, updates installed on servers used as domain controllers.