Microsoft: KB5036909 NTLM 트래픽을 유발하는 Windows Server 업데이트, DC에서 LSASS 충돌 문제 [업데이트]

해외 기사를 번역기로 번역 하였습니다 오역이 있을수 있으니 원문을 참고 하세요

며칠 전 Microsoft는 Windows Intune에서 오랫동안 지속되어 온 " 65000" BitLocker 암호화 보고 오류를 수정했음을 확인했습니다. 이러한 유형의 문제는 기업 전체의 관리 장치에 배포된 수많은 시스템에 영향을 줄 수 있는 경우가 많습니다.

어제 Microsoft는 IT 및 시스템 관리자가 NTLM 인증 트래픽이 크게 증가할 수 있다고 경고하면서 Windows Server DC(도메인 컨트롤러)에 대한 새로운 문제를 확인했습니다. 거대 기술 기업은 이러한 급증이 Windows 서버용 최신 2024년 4월 패치 화요일( KB5036909 ) 의 버그로 인해 발생했으며 2008년부터 최신 Windows Server 2019까지 모든 서버 OS 버전에 영향을 미친다는 것을 확인했습니다. 그리고 2022.

Windows NTLM(New Technology LAN Manager)은 사용자의 신원을 인증하고 확인하는 데 도움이 되는 보안 프로토콜 제품군이며 Microsoft는 Windows 11에서 이를 비활성화하려고 합니다 .

이 NTLM 트래픽 버그는 현재 Windows 10 및 11과 함께 Windows Server 시스템에도 영향을 미치는 VPN 연결 문제 에 추가됩니다 .

항상 그렇듯이 이 버그는 Windows 상태 대시보드 웹 사이트에 게시되었으며 Microsoft는 다음과 같이 썼습니다 .

DC(도메인 컨트롤러)에 2024년 4월 보안 업데이트(KB5036909)를 설치한 후 NTLM 인증 트래픽이 크게 증가한 것을 확인할 수 있습니다. 이 문제는 해당 환경에 주 도메인 컨트롤러의 비율이 매우 낮고 NTLM 트래픽이 높은 조직에 영향을 미칠 가능성이 높습니다.

다음 단계 : 해결 방법을 찾기 위해 노력하고 있으며 향후 릴리스에서 업데이트를 제공할 예정입니다.

윈도우 지원 :

기업용 장치: 비즈니스용 지원을 통해 조직에 도움을 요청하세요.

영향을 받는 플랫폼 :

클라이언트: 없음

서버: 윈도우 서버 2022, 윈도우 서버 2019, 윈도우 서버 2016, 윈도우 서버 2012 R2, 윈도우 서버 2012, 윈도우 서버 2008 R2, 윈도우 서버 2008

따라서 VPN 버그 및 손상된 프로필 사진 과 마찬가지로 Microsoft는 향후 업데이트를 통해 NTLM 문제를 해결할 것이라고 밝혔습니다.

업데이트 : Microsoft는 버그에 대한 업데이트를 발표했습니다. 회사는 Windows Server 업데이트로 인해 LSASS 충돌이 발생하여 재부팅이 발생할 수도 있다고 덧붙였습니다. 그러나 이는 드문 일입니다.

회사는 다음과 같이 씁니다.

참고 : 드문 경우지만 DC(도메인 컨트롤러) 역할을 실행하는 Windows 서버에서 LSASS(로컬 보안 기관 하위 시스템 서비스) 충돌이 발생하여 재부팅될 수 있습니다.

LSASS는 로컬 및 원격 로그인을 위해 사용자를 인증하고 로컬 보안 정책을 시행하여 자격 증명 손상으로 이어질 수 있는 코드 삽입을 방지하는 데 도움이 됩니다. 이는 LSA(로컬 보안 기관) 프로세스의 일부입니다.