
Anuncio crítico: Se identificaron problemas de autenticación Kerberos en Windows Hello
Microsoft ha reconocido un problema importante que afecta a la autenticación Kerberos de Windows Hello en los controladores de dominio de Active Directory (AD DC).Este problema surgió tras la instalación de las recientes actualizaciones del martes de parches de abril de 2025, que afectan específicamente a Windows Server 2025 (KB5055523), Server 2022 (KB5055526), Server 2019 (KB5055519) y Server 2016 (KB5055521).
Detalles del fallo de autenticación
Las actualizaciones han generado complicaciones al procesar inicios de sesión o delegaciones de Kerberos que utilizan credenciales basadas en certificados. Este problema se manifiesta principalmente en sistemas que dependen de la confianza de clave a través del campo msds-KeyCredentialLink en Active Directory. Por consiguiente, las organizaciones que utilizan Windows Hello para empresas (WHfB) en entornos de confianza de clave, o aquellas con autenticación de clave pública de dispositivo (Machine PKINIT), pueden experimentar fallos de autenticación.
Microsoft explicó:
Tras instalar la actualización de seguridad mensual de Windows de abril, publicada el 8 de abril de 2025 (KB5055523 / KB5055526 / KB5055519 / KB5055521), o posterior, los controladores de dominio (DC) de Active Directory podrían experimentar problemas al procesar inicios de sesión o delegaciones de Kerberos mediante credenciales basadas en certificados que dependen de la confianza de clave a través del campo msds-KeyCredentialLink de Active Directory. Esto puede provocar problemas de autenticación en entornos de confianza de clave de Windows Hello para empresas (WHfB) o en entornos que hayan implementado la autenticación de clave pública de dispositivo (también conocida como Machine PKINIT).
…
Los protocolos afectados incluyen la criptografía de clave pública Kerberos para autenticación inicial (Kerberos PKINIT) y el servicio de delegación de usuario basado en certificados (S4U), que funciona a través de la delegación restringida Kerberos (KCD) y la delegación restringida basada en recursos Kerberos (RBKCD).
Entendiendo la causa raíz
La interrupción se atribuye a un problema de compatibilidad derivado de los parches que abordan una vulnerabilidad de seguridad de red en Windows Kerberos, identificada como CVE-2025-26647. Puede encontrar más detalles en las notas del parche (KB5057784).Dado que el lanzamiento de estos parches aún se encuentra en la fase inicial de implementación o en modo de auditoría, aún no se han implementado por completo.
Según Microsoft, el problema se debe a los nuevos protocolos de seguridad introducidos en las actualizaciones recientes. En concreto, se ha modificado el método mediante el cual los controladores de dominio validan los certificados para la autenticación Kerberos. El proceso actualizado ahora requiere que los certificados se conecten a una raíz del almacén NTAuth, como se detalla en KB5057784.
Microsoft señaló:
Este problema está relacionado con las medidas de seguridad descritas en KB5057784, Protecciones para CVE-2025-26647 (Autenticación Kerberos).A partir de las actualizaciones de Windows publicadas el 8 de abril de 2025, el método de validación de los certificados utilizados para la autenticación Kerberos ha cambiado. Tras esta actualización, comprobarán si los certificados se enlazan a una raíz en el almacén NTAuth, como se describe en KB5057784.
Este comportamiento se puede controlar mediante el valor de registro
AllowNtAuthPolicyBypass
enHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
. SiAllowNtAuthPolicyBypass
no existe, el controlador de dominio se comporta como si el valor estuviera establecido en «1».Se han identificado los dos síntomas siguientes:
- Si el valor de registro
AllowNtAuthPolicyBypass
está configurado en “1” en el controlador de dominio que realiza la autenticación, el ID de evento 45 del Centro de distribución de claves Kerberos se registrará repetidamente, lo que indica: “El Centro de distribución de claves (KDC) encontró un certificado de cliente que era válido pero no se encadenó a una raíz en el almacén NTAuth”.Aunque este evento se puede registrar varias veces, los procesos de inicio de sesión afectados siguen siendo exitosos sin más problemas.- Por el contrario, si
AllowNtAuthPolicyBypass
se establece en “2”, los inicios de sesión de los usuarios fallarán y el ID de evento 21 de Kerberos-Key-Distribution-Center aparecerá en los registros de eventos, indicando: “El certificado de cliente para el usuario no es válido y resultó en un inicio de sesión fallido con la tarjeta inteligente”.
Solución alternativa actual e información adicional
Para las organizaciones que actualmente enfrentan estos problemas de autenticación, Microsoft recomienda ajustar la configuración del Registro cambiando el valor de «2» a «1» para mitigar el impacto temporalmente. Para obtener información más detallada sobre este problema, puede consultar la entrada en el Panel de estado de Microsoft Windows.
Para obtener más información y actualizaciones sobre esta situación en desarrollo, visita el artículo de Neowin.
Deja una respuesta