As atualizações de segurança liberadas em abril de 2025 pela Microsoft estão gerando instabilidades nos sistemas de autenticação de controladores de domínio do Windows Server, incluindo as versões 2016, 2019, 2022 e a mais recente, 2025.
Atualizações recentes da Microsoft comprometem autenticação em servidores corporativos
A falha ocorre após a instalação do update cumulativo KB5055523, distribuído em 8 de abril. A empresa de Redmond alerta que o problema impacta especialmente ambientes corporativos que utilizam autenticação com base em certificado digital — cenário típico em redes que operam com o Active Directory.
Segundo a Microsoft, usuários domésticos dificilmente serão afetados, já que esse tipo de configuração é voltado para redes empresariais que utilizam recursos como o Windows Hello for Business (WHfB) e autenticação pública de dispositivos (PKINIT).
Impactos diretos nos sistemas corporativos
A falha compromete processos de login e delegações via protocolo Kerberos, especificamente aqueles que se baseiam no campo msds-KeyCredentialLink do Active Directory para validar certificados. Esse comportamento afeta diretamente:
- Ambientes que usam WHfB com confiança baseada em chave
- Sistemas de autenticação via PKINIT de máquina
- Soluções de autenticação com cartão inteligente
- Softwares com logon único (SSO) de terceiros
- Gerenciadores de identidade corporativa
Os protocolos mais afetados são o Kerberos PKINIT (utilizado na autenticação inicial) e a delegação baseada em certificados, como o RBKCD (Delegação Restrita Baseada em Recursos) e o KCD (Delegação Restrita Kerberos).
Vulnerabilidade CVE-2025-26647 está na raiz do problema
A origem da falha está na tentativa da Microsoft de mitigar a vulnerabilidade crítica CVE-2025-26647, que permitia que invasores autenticados elevassem seus privilégios remotamente. A brecha está ligada à validação incorreta de entradas no protocolo Kerberos — que substituiu o NTLM como padrão desde o Windows 2000.
A falha permite que um invasor autenticado obtenha um certificado com o identificador SKI (Subject Key Identifier) de uma Autoridade Certificadora legítima e, com ele, solicite um Ticket Granting Ticket (TGT) para outro usuário, ganhando acesso não autorizado a recursos da rede.
Solução provisória: ajuste no registro do sistema
Até que um patch definitivo seja liberado, a Microsoft recomenda uma solução temporária: modificar o valor do registro AllowNtAuthPolicyBypass, localizado em:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KdcO valor deve ser ajustado de “2” para “1”, conforme detalhado no guia de suporte oficial da Microsoft.
Histórico de falhas semelhantes
Não é a primeira vez que atualizações do Windows causam falhas de autenticação. Em abril de 2025, outro erro afetou o protocolo Kerberos PKINIT em dispositivos com Windows 11 e Windows Server 2025 quando o recurso Credential Guard estava ativado.
Além disso, em novembro de 2022, a Microsoft precisou lançar uma atualização emergencial fora do ciclo regular (OOB) para corrigir falhas graves de login no Kerberos. Problemas parecidos também foram reportados nos anos anteriores, desde versões do Windows 2000 até edições mais recentes, sempre relacionados à delegação Kerberos.
Conclusão
A falha atual representa mais um desafio para administradores de TI que precisam garantir a integridade e a segurança dos ambientes corporativos baseados em Windows Server. A recomendação é acompanhar de perto os boletins da Microsoft e aplicar as correções provisórias enquanto uma atualização definitiva não é disponibilizada.
