Microsoft brengt patch uit voor authenticatieproblemen in Windows Server

Microsoft heeft verschillende out-of-band-updates uitgebracht voor Windows Server. Die patchen een bug waarmee gebruikers niet kunnen inloggen op bepaalde domain controllers. De bug zat in een eerdere securityupdate voor het OS.

Microsoft heeft zes verschillende updates uitgebracht voor Windows Server-versies 2008, 2012, 2016 en 2019. Het is een out-of-band-update die volgens het bedrijf geen beveiligingsproblemen oplost, maar een authenticatiebug. Die bug zorgt ervoor dat eindgebruikers in sommige gevallen niet meer kunnen inloggen op een systeem in een Active Directory.

Het gaat om applicaties waarop gebruikers via single sign-on kunnen inloggen op applicaties met het Kerberos-authenticatieprotocol. De bug ontstond nadat gebruikers securityupdates installeerden die tijdens de vorige Patch Tuesday werden uitgebracht. Systeembeheerders moeten de oob-update downloaden via de Microsoft Update Catalog of direct vanaf de website. De patch wordt niet automatisch via Windows Update uitgebracht.

Windows Server-versie Patch
Windows Server 2008 SP1 KB5008605
Windows Server 2008 R2 SP1 KB5008606
Windows Server 2012 KB5008604
Windows Server 2012 R2 KB5008603
Windows Server 2016 KB5008601
Windows Server 2019 KB5008602

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 16-11-2021 07:28
44 • submitter: Muncher

16-11-2021 • 07:28

44 Linkedin

Submitter: Muncher

Lees meer

Microsoft repareert 68 bugs inclusief zes zerodays tijdens Patch Tuesday Nieuws van 9 november 2022
Microsoft patcht 51 kwetsbaarheden op Patch Tuesday met geen enkele kritieke bug Nieuws van 9 februari 2022
Microsoft dicht aantal ernstige kwetsbaarheden in Windows en Windows Server Nieuws van 12 januari 2022
Microsoft repareert 67 lekken waarvan zes zerodays tijdens Patch Tuesday Nieuws van 15 december 2021
Hacker publiceert Windows-zeroday na slecht werkende patch van Microsoft Nieuws van 23 november 2021
Microsoft brengt out-of-band-patch uit voor printerbug in Windows 10 1809 Nieuws van 29 juli 2021
Microsoft brengt noodpatch uit voor PrintNightmare-bug Nieuws van 7 juli 2021
Microsoft publiceert Windows-update voor printerprobleem dat bsod's veroorzaakte Nieuws van 16 maart 2021
Meer producten en artikelen
Besturingssystemen Microsoft Windows Server Windows server 2008 Windows server 2008 r2

Reacties (44)

-Moderatie-faq
44
43
22
2
0
15
Wijzig sortering
pandit
16 november 2021 09:47
Frappant dat Microsoft updates uitbrengt voor niet gesupporte Windows Server versies, Windows Server2008. waarvan de ondersteuning al bijna 2 jaar is verlopen.

Wel goed omdat dit OS nog zeer veel wordt gebruikt binnen grote organisaties

[Reactie gewijzigd door pandit op 16 november 2021 14:19]

MischaBoender | IA
@pandit16 november 2021 10:29
Voor Server 2008 kun je nog tot 10 januari 2023 security updates krijgen. Als jouw bankrekening dat toelaat tenminste...
ExtremelyBroken
@MischaBoender | IA16 november 2021 19:46
Of je draait je 2008 workload in Azure.
Bosjvd2
@pandit16 november 2021 11:02
Correctie, 2 jaar niet 12. En ze brengen nog elke maand patches uit voor 2008 en win7 met the extended support die je kan kopen. zoals ook al door anderen gemeld.
pandit
@Bosjvd216 november 2021 14:20
typo :-( inmiddels gecorrigeerd
Permutor
16 november 2021 08:47
Ik kan uit de eerste hand, als eindgebruiker, vertellen tot wat voor effecten deze bug leidde.
Ik werk voor een (grote) financiele instelling. Bijna alles doen we tegenwoordig van huis uit.
VPN verbinding voor toegang tot de interne system, en via een rol toegang tot het internet. Bedenk dat steeds meer systemen buiten het bedrijf draaien. De cloud, he.
Ik kwam in de volgende situatie:
a) Met VPN had ik toegang tot de interne systemen. Maar niet de intranet home page, geen Yammer, en niet de systemen die in een andere Azure tenant draaien, en ook geen tweakers.net.
b) Zonder VPN had ik geen toegang tot de interne systemen. Maar wel weer de intranet home page, Yammer, Tweakers, etc.
Ik heb 3x de melding gekregen van de servicedesk dat mijn probleem zou zijn opgelost. Niet dus.
Pas vanmorgen (ik had netjes de laptop uitgezet) waren ineens de problemen weg.

[Reactie gewijzigd door Permutor op 16 november 2021 08:48]

Tefflar
@Permutor16 november 2021 09:31
Jij neemt dus aan dat deze hartstikke nieuwe update, die niet automatisch uitgerold wordt de oplossing is voor jouw probleem is, en dat jullie IT afdeling de patch dus gelijk vanmorgen al heeft uitgerold?
Fomix
@Tefflar16 november 2021 10:27
add-on:
Op productie systemen van een financiële instelling dan nog.
Scriptkid
@Tefflar16 november 2021 10:30
zoiezo kan het bijna niet gezien het om S4U2self gaat en meerdendeel van de aplicaties die hierboven genoemd worden gebruiken geen S4U2self requests

Zeker Tnet niet

https://docs.microsoft.co...1f-4357-af9a-b672e3e3de13

[Reactie gewijzigd door Scriptkid op 16 november 2021 10:31]

Bosjvd2
@Tefflar16 november 2021 10:53
Het zou best kunnen. Het was een serieuze bug die veel authenticatie problemen veroorzaakt. Gezien de serieuze security issues die de patch van vorige week fixed zou het me niets verbazen dat die al geinstalleerd waren. Wij hadded ze ook geplanned staan voor het weekend, tot we op vrijdag het MS bericht zagen over de problemen. En jij ziet de patches nu in dit artikel, maar ze zijn de 14de uitgebracht, dus het zou me niets verbazen als ze die vannacht gepushed hebben naar de Domain Controllers om de authenticatie problemen op te lossen.
Permutor
@Tefflar17 november 2021 14:45
@Tefflar Ik snap jouw scepsis.
Mijn bedrijf heeft een meer dan premium relatie met Microsoft.
En ja, het was automatisch uitgerold.
Het issue was al dagen bezig. De fix is ook in delen gekomen. Ik was een van de laatsten bij wie het opgelost was, ondanks mijn status als canary user. Maar, zoals Bosjvd2 opmerkt, de patches moesten gepusht worden naar meerdere domain controllers. En voor mijn werkstation gold dat er een reboot gedaan moest worden. Vraag me niet naar het waarom van de laatste. Dat weet ik niet.

[Reactie gewijzigd door Permutor op 17 november 2021 14:49]

Rataplan_
16 november 2021 07:50
Server 2022 heeft deze patch (nog?) niet. Is die niet getroffen door deze bug? Is toch grootdeels dezelfde codebase als 2019.
Henk Poley
@Rataplan_16 november 2021 12:28
Staat in ieder geval niet bij de Known Issues van Server 2022 of de laatste patch daar voor. Kan zoiets stoms zijn als dat ze het bij het testen alleen voor Server 2022 hadden gevonden en opgelost.
the_stickie
16 november 2021 07:46
Als MS nu nog patches voor 2008 uitbrengt, weet je dat er dikke shit is :o

edit: enigszins anders geformuleerd: het is verbazend dat MS nog een patch released voor 2008, dat al lang EOL is. 2008 komt nog regelmatig voor in Enterprise omgevingen. Het lijkt erop dat juist grote, multidomain klanten die nog her en der legacy spul draaien geïmpacteerd werden. De druk op MS om nog te patchen moet immens geweest zijn!

[Reactie gewijzigd door the_stickie op 16 november 2021 11:29]

MZONDERL
@the_stickie16 november 2021 07:55
Deze brengen ze alleen beschikbaar voor bedrijven die een ESU licentie hebben afgenomen, ondertussen Year 2.
Die ontvangen ook nog gewoon security updates.

https://docs.microsoft.co...d-security-updates-deploy
Bosjvd2
@the_stickie16 november 2021 10:59
Er zijn elke maand patches voor server 2008 en windows 7. Dat is niets bijzonders.
Luchtbakker
@the_stickie16 november 2021 07:51
Als MS nu nog patches voor 2008 uitbrengt, weet je dat er dikke shit is :o
Eerder respect voor een bedrijf dat zijn servers 13 jaar na dato update.
Maar als je nu nog op 2008 werkt, ben je ook niet goed bezig.
batjes
@Luchtbakker16 november 2021 08:01
Er zijn helaas iets te veel situaties waarin je geen keuze hebt.

Genoeg software dat niet op nieuwere versies van Windows draait. Maker van de software die al lang failliet is bv. Je kan niet altijd even makkelijk overstappen naar andere software en de ontwikkeling van nieuwe software kan jaren duren en bakken met geld kosten.

Het zal je verbazen hoeveel systemen uit het stenen tijdperk nog draaien.
walteij
@batjes16 november 2021 08:33
Op een domain controller hoor je niet allerhande software te draaien, die hoor je alleen te gebruiken als authenticatie server. En nou snap ik ook da dat in MKB soms erg lastig is, maar met virtualisatie kun je dat een heel eind oplossen.
Linke Loe
@walteij16 november 2021 08:53
Ik mag inderdaad hopen, dat je niet allerhande software op een domain controller draait. Ik mag ook hopen dat je geen Windows Server 2008 en 2012 (R2) domain controllers meer hebt, maar deze patch is niet alleen voor domain controllers. Deze patch is voor alle Windows Server systemen, van 2008 SP1 tot 2019, domain controller of niet.
DigitalExorcist
@Linke Loe16 november 2021 09:27
Extended support op 2012R2 eindigt pas over 2 jaar. Ok, dat het niet verstandig is om die te draaien is één ding, maar die zijn nog niet officieel EOL.

https://cloudblogs.micros...rver-2012-end-of-support/

[Reactie gewijzigd door DigitalExorcist op 16 november 2021 09:27]

Bosjvd2
@Linke Loe16 november 2021 11:08
Deze patch is wel degelijk voor de Domain Controller functie. Op andere systemen is hij niet nodig, tenzij je van plan bent ze een DC te maken. En 2012R2 is nog gewoon ondersteund, dus er is niks mis met 2012R2 DC te hebben. Al moet je wel gaan plannen om te upgraden.
Razwer
@Linke Loe16 november 2021 12:45
Een van de zaken die een domain controller upgrade veelal tegen zit is het installeren van een CA.
Nu is inplace upgraden al niet aan te raden maar met CA aan boord is dit nog lastiger.
De CA op een andere server verhuizen heeft vaak dermate voeten in de aarde dat menig beheerder dat uit de weg gaat.
Vooral bij bedrijven waar IT niet de core business is wordt hier veelal in verzaakt.
MischaBoender | IA
@Luchtbakker16 november 2021 10:47
Er zijn genoeg omgevingen waar 2008 geen uitzondering is. Zelfs 2003 en ouder kun je zeker nog wel tegenkomen in bepaalde omgevingen. "Even" het OS upgraden zit er gewoon niet in. Vaak ondersteunt de hardware het niet, geeft de leverancier geen support meer, het maakt onderdeel uit van een productie process wat niet stil mag vallen, etc. In veel gevallen valt het niet eens onder de verantwoordelijkheid van een IT afdeling.
the_stickie
@MischaBoender | IA16 november 2021 11:30
helemaal eens! In tegenstelling tot wat we allemaal hopen is de sysadmin in realiteit niet de enige die over systemen gaat!
Mastofun
@Luchtbakker16 november 2021 09:13
meestal zijn die dingen die nog op oude servers draaien ofwel heel belangrijk ofwel niet belangrijk.
walteij
@Mastofun16 november 2021 09:27
Als ze heel belangrijk zijn, is er een bedrijfsproces dat ervoor zorgt dat die belangrijke software het ook doet als het OS waarop het actief is bijna end of life is. En dan is er ook een bedrijfsproces dat de software zelf up-to-date houdt.

Zo niet, is er iets enorm mis gegaan tijdens het naar productie brengen van die software.
bigbadbull
@walteij16 november 2021 09:36
ja bvb "Maker van de software die al lang failliet is bv. Je kan niet altijd even makkelijk overstappen naar andere software en de ontwikkeling van nieuwe software kan jaren duren en bakken met geld kosten."
walteij
@bigbadbull16 november 2021 09:52
Dan is je proces dus niet in orde.

Want zodra de maker failliet gaat, neem je contact op met de curator om te zien of iemand de ontwikkeling overneemt. Als dat niet gebeurd, ga je op zoek naar óf een leverancier die de software gaat onderhouden voor je, óf je gaat op zoek naar nieuwe software.
bigbadbull
@walteij16 november 2021 12:42
dat is gemakkelijker gezegd dan gedaan.
En meestal is het niet de software alleen, die hangt vaak ook vast aan machines en processen.
Zolang die ok zijn en zeker indien niet afgeschreven blijft dat gebruikt worden.
komt daarbij nog dat soms er jaren lang geen contact is met die leverancier zolang er geen problemen zijn.
En komt het faillissement pas boven bij problemen, zoals OS upgrades ed.
En wat ook vaak voorkomt is dat er wel iemand is die de support overneemt ed. maar van een upgrade nooit sprake is want ze verkopen dat niet meer want ze hebben hun eigen product dat wel ondersteunt wordt, maar niet compatibel is met de apparatuur dat jij staan hebt.
en het is niet ecolonomisch om alle apparatuur zomaar te vervangen terwijl het nog perfect werkt.
walteij
@bigbadbull16 november 2021 15:30
Ko
komt daarbij nog dat soms er jaren lang geen contact is met die leverancier zolang er geen problemen zijn.
Zie mijn eerste zin van mijn vorige bericht.

Software is nooit af. Software is nooit veilig. Een goede leverancier zal zijn product willen verbeteren en beveiligen. Dus komen er updates uit. Daar zijn onderhoud- en support contracten voor.
Die contracten dien je dus ook bij de aanschaf van software (al dan niet verbonden met machines) goed in te regelen. Ook dat is onderdeel van het proces.
wiseger
@the_stickie17 november 2021 01:47
Windows 2008 wordt nog gewoon ondersteunt door Microsoft als je over het juiste contract beschikt. De druk op MS is niet immens, er wordt gewoon voor betaald.
michel18
16 november 2021 08:10
Microsoft heeft verschillende out-of-bands-updstes
Dikke vingers op de vroege ochtend :P
Gody
@FotoMark16 november 2021 08:38
Systemen (als deze) die nog beveiligingspatches krijgen, en nu dus ook een reguliere patch, omschrijven als meuk? Uhm, nee, niet bepaald. Als je iets verder nadenkt kan ook jij beseffen dat een stabiele omgeving die veilig wordt gehouden prima is.
rscheper
@FotoMark16 november 2021 08:50
Dit is natuurlijk niet de waarheid. De waarheid is onder andere dat bij de overheid (het stukje wat ik ken) veel oude (zelf ontwikkelde) applicaties en oude systemen draaien omdat ze nog kunnen draaien, veilig zijn en het gewoon doen. Maar migreren naar een nieuwere serverversie is enorm lastig zoals hierboven ook ergens staat beschreven, omdat het zelf ontwikkeld is, of omdat de leverancier failliet is of om andere redenen. Dat er nog oude systemen draaien komt absoluut niet voort uit 'geen geld' bij de overheid.

[Reactie gewijzigd door rscheper op 16 november 2021 08:52]

DigitalExorcist
@FotoMark16 november 2021 09:28
Als de overheid *iets* heeft, is het wel geld teveel. Dat klotst tegen de plinten omhoog daar.

Dat ze niet weten hoe ze het effectief moeten bestéden is wat anders ja ;)
oef!
@DigitalExorcist16 november 2021 11:13
Zo gedragen ze zich anders niet. Bij aanbestedingen wordt er scherp gelet op de financiële aspecten. Voor zoiets als corona wordt de portemonnee getrokken maar voor de rest is het mager in mijn optiek. Een mooi voorbeeld is dat allerlei overheden moeilijk aan it-ers komen omdat de lonen niet matchen met het bedrijfsleven.
DigitalExorcist
@oef!16 november 2021 11:35
<Iets met IT dingetjes bij de Belastingdienst, DUO en UWV en zo...>
oef!
@DigitalExorcist16 november 2021 11:46
Ik snap wat je zegt maar dat is allemaal after the fact en niet begroot. Het komt er in het kort op neer dat dit soort instanties niet goed kan specificeren wat ze willen en daardoor de kosten niet in de klauwen kan houden. Vervolgens heb je twee keuzes, doorgaan en dokken of de stekker eruit trekken. Meestal wordt voor het eerste gekozen en dat pakt soms ronduit slecht uit.
dycell
@oef!16 november 2021 14:06
Dat is het leuke aan de overheid. De wind waait daar alle kanten op. Tijdens de aanbesteding wordt over iedere stuiver moeilijk gedaan maar daarna rollen ze in het geld vanwege de changes, vertragingen en uitzonderingen waar ze weer mee aankomen. Ik heb wel eens tijdens een project licentie aanpassingen voorgesteld die tonnen zou schelen maar dat interesseerde ze helemaal niets. Het project stond immers al vast met de huidige licenties. Daarna was vertraging op vertraging met verschillende extensies op het project waar ook geen haan over kraait.

Zie anders ook de doorlooptijden hier, ze houden het mooi bij ;)
https://www.rijksictdashboard.nl/
oef!
@dycell16 november 2021 21:26
Erg herkenbaar allemaal, ik kan er zelf ook wel een boek over schrijven. Toch vind ik het wel een beetje sneu dat iedereen altijd op de ambtenaren zit te viiten. Meestal zitten ze goed in de wedstrijd en de mate van enthousiasme ligt doorgaans een stuk hoger dan in het bedrijfsleven
dycell
@oef!16 november 2021 21:37
Het probleem is ook niet de ambtenaar maar het collectief. Doelen zijn niet duidelijk, aansturing is wisselvallig (veel wisselende externe managers en project teams) en er vallen continue lijken uit de kast die opgeruimd moeten worden.

Ik vind het echt leuk om met ambtenaren te werken maar de organisatie werkt niet in deze moderne snel bewegende wereld. IT wordt nu ook sterk ingezet om zich te verschuilen voor de burger in plaats van de burger te ondersteunen. Men moet de lokale overheden weer meer menselijk maken.

Ik wil bijvoorbeeld graag een huis bouwen maar dat gaat zeker twee jaar duren om alleen al de vergunningen aan te vragen. Het kan natuurlijk sneller via 'de ingangen van een aannemer'. Maar zo hoort het niet te zijn.
wiseger
@FotoMark17 november 2021 01:50
Het heeft niets met geld te maken. Sterker nog, je betaald voor Windows 2008 server support.
Het heeft alles te maken met strategy en planningen. 2008 upgrade naar bv. 2016 betekend vaak ook dat de applicaties geupgrade moeten worden. Wanneer een applicatie op de nominatie staat vervangen te worden door bv. nieuwbouw, dan ga je die niet upgraden voor een relatief korte rijd.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee