Windows Server e i problemi con Kerberos

Gli aggiornamenti di sicurezza rilasciati da Microsoft l’8 aprile 2025 hanno causato problemi di autenticazione sui controller di dominio Active Directory in Windows Server, specialmente in ambienti che utilizzano Kerberos con certificati digitali. Le versioni interessate includono Windows Server 2016, 2019, 2022 e la più recente 2025, con impatti significativi sulle infrastrutture aziendali che dipendono da questi sistemi per la gestione dell’identità e dell’accesso centralizzato.

Il problema è stato ricondotto all’aggiornamento cumulativo KB5055523, che ha introdotto modifiche per mitigare la vulnerabilità CVE-2025-26647, classificata ad alta gravità. Questa falla permetteva a un attaccante autenticato di ottenere privilegi elevati sfruttando una validazione impropria degli input all’interno di Kerberos. Tuttavia, la correzione ha generato instabilità nei meccanismi di autenticazione basati su PKINIT, il protocollo che consente l’uso di certificati per autenticarsi, compromettendo l’affidabilità del Single Sign-On e della gestione dell’identità aziendale.

Microsoft ha fornito indicazioni per mitigare il problema, suggerendo di aggiornare tutti i controller di dominio con le patch più recenti e monitorare gli eventi di sistema per identificare le autorità di certificazione coinvolte. Inoltre, ha introdotto una modalità di applicazione progressiva per garantire una transizione graduale verso le nuove impostazioni di sicurezza. Gli aggiornamenti successivi, previsti per luglio e ottobre 2025, implementeranno controlli più rigorosi per prevenire ulteriori vulnerabilità.

Questa situazione evidenzia la complessità della gestione della sicurezza nei sistemi operativi aziendali e l’importanza di un monitoraggio costante degli aggiornamenti. Sebbene le patch siano essenziali per proteggere le infrastrutture IT, è fondamentale valutare attentamente i loro effetti per evitare interruzioni nei servizi critici.