#Erfreulich – mit dem #Patchday März 2024 schließt Microsoft eine kritische Sicherheitslücke in der Kerberos Authentifizierung von Domänen-Controllern. Leider hat man dabei einen Speicherfresser (Memory Leak) kodiert, der dazu führt, dass mancher (nicht alle) Domänencontroller 2016/2019 und 2022 nach einiger Zeit (zwischen 12 und 24 Stunden) so viel Speicher auf den Prozess LSASS.EXE alloziert, dass der DC entweder keine Aufgaben mehr wahrnimmt oder sogar eigenständig neu startet.
Update 23.3.2024: Microsoft hat ein Out-of-band Update für Windows Server 2022 (KB5037422), Windows Server 2016 (KB5037423) und Windows Server 2012 R2 (KB5037426) herausgegeben. Windows Server 2019 folgt noch in den nächsten Tagen. #Warnung – diesen Patch bitte zeitnah installieren auf betroffenen Servern.
Update 26.03.2024: Nun ist auch das Update für Windows Server 2019 erschienen. Die unterstützten Server sollten dann nach Installation und Neustart wieder frei vom Speicherloch sein und nicht mehr abstürzen.
Microsoft Knowledge Base
Einige Admins berichten, dass das Problem bei ihnen gar nicht auftritt, andere starten die DC zeitversetzt 1x pro Tag neu als Workaround. Da DCs in Azure aus Kostengründen meist noch andere Aufgaben (1 File, 1 Print/Apps) übernehmen, lässt sich ein Neustart nur außerhalb der normalen Arbeitszeiten realisieren.
Generell ist es aber keine gute Idee, das Update wegzulassen, da eine kritische Lücke mit einem Score von 9 von 10 geschlossen wurde.
Microsoft hat das Problem bestätigt und arbeitet an einem Hotfix, der kurzfristig ausgerollt werden soll. Aus Sicherheitsgründen kann man hier nur abwarten.
Übrigens: Ältere Server wie Server 2012 R2, die On-Premises keine Sicherheitsupdates bekommen, haben zwar nicht das Speicherproblem, aber dennoch die Sicherheitslücke. Werden sie in Azure betrieben, gibt es einen Patch, der auch für diese Server die Sicherheitslücke schließt und auch das Speicherproblem mit sich bringt. Wer noch Windows Server 2008 R2 einsetzt, hat ganz andere Sicherheitsprobleme, da es auch im ESU gegen Bezahlung keine Sicherheitsupdates mehr gibt.
Kommentare