De update voor beheersoftware Active Directory (AD) is nu weer verkrijgbaar, in een gefixte uitvoering. De eerste versie is vorige week dinsdag uitgebracht tijdens de maandelijkse patchronde (Patch Tuesday) van Microsoft. Een dag later is de update voor de Federation Services (FS) van AD ingetrokken: het bijbehorende securitybulletin is herzien en de download is verwijderd.

Accountlekkage en DoS, of DoS

Er bleek namelijk wat mis met deze patch, voor een beveiligingsgat met de waardering 'belangrijk'. Het te dichten gat heeft het risico dat accountinformatie van AD FS wordt gelekt, waarna een aanvaller kan proberen in te loggen op dat service-account. Uiteindelijk is hierdoor ook een DoS-aanval (denial of service) mogelijk, voor alle applicaties die vertrouwen op AD FS. Dat kan namelijk gebeuren als er een policy is ingesteld voor account-lockout.

Microsoft heeft in zijn patchronde van deze maand ook al een fout gemaakt met een update voor Exchange. Die patch zorgde voor corruptie op de nieuwste versie van Microsofts mail- en agendaserver. Over het belang van testen, voor beheerders en ook leveranciers.

De vorige week uitgebrachte de patch kan echter ook ernstige problemen veroorzaken. De hele Federated Services van AD kunnen uitvallen als een beheerder niet een voorgaande patchverzameling heeft geïnstalleerd. Dit betreft de zogeheten RU3 rollup QFE (update 2790338) die eerder uitgebrachte losse patches als één gecombineerd pakket aanbiedt. In de opnieuw uitgebrachte patch is de vereiste voor RU3 weggenomen, meldt Microsoft in het bijgewerkte securitybulletin.