Após relatar falhas graves de autenticação nos controladores de domínio do Windows Server, a Microsoft finalmente liberou atualizações cumulativas que corrigem os problemas causados pelos patches de abril de 2025. A falha, que afetava ambientes corporativos baseados em Kerberos e autenticação com certificados, gerou instabilidade em logins, soluções SSO e dispositivos com Windows Hello for Business.
Microsoft corrige falhas de autenticação causadas por atualizações do Windows Server
Correção para erro crítico no Kerberos após atualização de abril
A falha surgiu com a atualização de segurança KB5055523, distribuída em 8 de abril de 2025, afetando os sistemas Windows Server 2016, 2019, 2022 e 2025. Segundo a Microsoft, o problema comprometia logons e delegações do Kerberos baseados em certificados vinculados ao campo msds-KeyCredentialLink no Active Directory.
Isso impactava diretamente:
- Ambientes com Windows Hello for Business baseado em chave;
- Sistemas com autenticação pública baseada em PKINIT (Public Key Cryptography for Initial Authentication);
- Soluções corporativas que dependem de logon único (SSO);
- Produtos que utilizam cartões inteligentes.
A Microsoft esclareceu que usuários domésticos não foram afetados, uma vez que essas configurações são típicas de infraestruturas empresariais.
Atualizações cumulativas já estão disponíveis
Para mitigar os efeitos das falhas, a Microsoft lançou atualizações específicas para cada versão afetada do Windows Server:
- KB5060842 (Windows Server 2025)
- KB5060526 (Windows Server 2022)
- KB5060531 (Windows Server 2019)
- KB5061010 (Windows Server 2016)
A recomendação oficial é que todos os administradores instalem imediatamente a atualização de junho, que também corrige outras vulnerabilidades e aprimora a estabilidade do sistema.
Registro e mitigação temporária
Caso a atualização de junho ainda não possa ser aplicada por alguma restrição de ambiente, a Microsoft orienta adiar a definição da chave de registro AllowNtAuthPolicyBypass com valor “2”. Essa ação deve ser feita apenas em controladores de domínio atualizados, como solução temporária até a aplicação do patch oficial.
Para isso, os administradores devem consultar a seção “Configurações do Registro” no documento de suporte KB5057784.
Origem da falha: CVE-2025-26647 e segurança do Kerberos
A origem do problema está ligada a uma medida de segurança preventiva contra a vulnerabilidade CVE-2025-26647, uma falha crítica de elevação de privilégio que permitia a exploração remota de falhas de validação no protocolo Kerberos.
O Kerberos substituiu o NTLM como protocolo padrão de autenticação no Windows desde os anos 2000. Com sua crescente integração com soluções de identidade baseada em nuvem, falhas como essa impactam diretamente a segurança de redes corporativas.
Essa não é a primeira vez que a Microsoft enfrenta desafios com o Kerberos. Em abril de 2025, já havia corrigido outro problema envolvendo o Credential Guard no Windows 11 e Server 2025. Em 2022, também precisou lançar atualizações de emergência fora de banda para lidar com falhas críticas de login em controladores de domínio.
O que esperar daqui para frente
O episódio reforça a complexidade envolvida na gestão de autenticação baseada em certificados e infraestruturas de Active Directory. Com a Microsoft endurecendo políticas de segurança no Kerberos para mitigar vulnerabilidades graves, é possível que outras atualizações futuras exijam ações preventivas semelhantes por parte dos administradores.
Empresas que utilizam soluções como Windows Hello for Business, autenticação PKI e SSO corporativo devem manter práticas de atualização regulares e monitoramento ativo de mudanças nas políticas de segurança da Microsoft.
