Microsoft gibt bekannt, dass die Sicherheitsupdates vom April 2025 auf einigen Windows Server 2025-Domänencontrollern Authentifizierungsprobleme verursachen.
Die Liste der betroffenen Plattformen umfasst Windows Server 2016, Windows Server 2019, Windows Server 2022 und die neueste Version, Windows Server 2025.
Wie das Unternehmen jedoch weiter erklärte, ist es unwahrscheinlich, dass Privatanwender von diesem bekannten Problem betroffen sind, da Domänencontroller in der Regel für die Authentifizierung in Unternehmen und Organisationen verwendet werden.
„Nach der Installation des monatlichen Windows-Sicherheitsupdates vom 8. April 2025 (KB5055523) oder später können bei Active Directory-Domänencontrollern (DC) Probleme bei der Verarbeitung von Kerberos-Anmeldungen oder -Delegierungen auftreten, die zertifikatsbasierte Anmeldeinformationen verwenden, die auf der Schlüsselvertrauensstellung über das Active Directory-Feld „msds-KeyCredentialLink“ basieren“, erklärte Microsoft in einem Windows-Release-Health-Update.
„Dies kann zu Authentifizierungsproblemen in Windows Hello for Business (WHfB)-Schlüsselvertrauensumgebungen oder Umgebungen führen, in denen die Geräte-Public-Key-Authentifizierung (auch als Machine PKINIT bekannt) bereitgestellt wurde.“
Diese Probleme können auch Software betreffen, die für die Authentifizierung auf diese beiden Funktionen angewiesen ist, darunter unter anderem Single-Sign-On-Lösungen (SSO) von Drittanbietern, Identitätsmanagementsysteme und Smartcard-Authentifizierungsprodukte.
Zu den betroffenen Authentifizierungsprotokollen gehören Kerberos Public Key Cryptography for Initial Authentication (Kerberos PKINIT) und Certificate-based Service-for-User Delegation (S4U) über Kerberos Resource-Based Constrained Delegation (RBKCD oder A2DF Delegation) oder Kerberos Constrained Delegation (KCD oder A2D2 Delegation).
Authentifizierungsprobleme im Zusammenhang mit den Sicherheitspatches CVE-2025-26647
Laut Microsoft stehen diese Probleme im Zusammenhang mit Sicherheitsmaßnahmen , die eine schwerwiegende Sicherheitslücke mit der Kennung CVE-2025-26647 beheben sollen. Diese Sicherheitslücke kann es authentifizierten Angreifern ermöglichen, durch Ausnutzen einer Schwachstelle bei der Eingabevalidierung in Windows Kerberos, das [NTLM ersetzt hat](https://answers. microsoft.com/en-us/msoffice/forum/all/ntlm-vs-kerberos/d8b139bf-6b5a-4a53-9a00-bb75d4e219eb) als neues Standardauthentifizierungsprotokoll für domänenverbundene Geräte auf allen seit Windows 2000 veröffentlichten Windows-Versionen ersetzt wurde.
„Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, könnte vom Key Distribution Center viel mehr Rechte für das Zertifikat erhalten als beabsichtigt„, erklärt Redmond.
“Ein authentifizierter Angreifer könnte diese Sicherheitslücke ausnutzen, indem er von einer Zertifizierungsstelle (CA) ein Zertifikat mit dem Wert des Ziel-Subject Key Identifier (SKI) erhält. Der Angreifer könnte dann dieses Zertifikat verwenden, um vom Key Distribution Center (KDC) ein Ticket Granting Ticket (TGT) für den Zielbenutzer zu erhalten.“
Als Workaround wird betroffenen Kunden empfohlen, den Registrierungswert „AllowNtAuthPolicyBypass“ in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc von „2“ auf „1“ zu ändern, wie in diesem Support-Dokument beschrieben.