Microsoft, a través de sus actualizaciones de seguridad de junio de 2025 (Patch Tuesday), ha solucionado varias vulnerabilidades críticas que afectaban a los controladores de dominio de Windows Server 2025. Estas correcciones abordan específicamente los problemas de autenticación y conectividad de red que los administradores venían experimentando desde abril. Las soluciones se incluyen en la actualización KB5060842, diseñada para mitigar las vulnerabilidades que estaban causando interrupciones operativas significativas en entornos empresariales.
Los problemas de autenticación surgieron de la actualización de seguridad KB5055523, lanzada en abril de 2025 para abordar la vulnerabilidad CVE-2025-26647.
Esta actualización cambió la forma en que los controladores de dominio validan los certificados utilizados para la autenticación Kerberos, lo que requiere que los certificados se encadenen a una autoridad de certificación (CA) emisora en el almacén NTAuth.
El cambio afectó particularmente las implementaciones de confianza de clave de Windows Hello para empresas (WHfB) y la autenticación de clave pública del dispositivo (Machine PKINIT), lo que provocó dos escenarios distintos según la configuración del registro.
Cuando el valor de registro AllowNtAuthPolicyBypass se desconfiguraba o se establecía en “1”, los controladores de dominio registraban repetidamente el ID de evento 451 de Kerberos-Key-Distribution-Center.
Cuando se establece en «2», la autenticación basada en certificado autofirmado falla, lo que genera el ID de evento 211.
Las actualizaciones de junio de Microsoft resolvieron el comportamiento de registro incorrecto que desencadenaba estos eventos para los certificados autofirmados que legítimamente nunca se encadenan a una CA en el almacén NTAuth.
La solución se incluye en KB5060842 para Windows Server 2025, junto con las actualizaciones correspondientes para versiones anteriores del servidor.
Otro problema crítico afectó la capacidad de los controladores de dominio de Windows Server 2025 para administrar correctamente el tráfico de red después de reiniciar el sistema.
El problema se produjo cuando los controladores de dominio no pudieron aplicar los perfiles de firewall de dominio, sino que utilizaron de forma predeterminada los perfiles de firewall estándar.
Esta mala configuración provocó que los controladores de dominio se volvieran inaccesibles en las redes de dominio o que se pudiera acceder a ellos incorrectamente a través de puertos y protocolos que deberían haber sido bloqueados por los perfiles de firewall adecuados.
Las aplicaciones y servicios que se ejecutan en controladores de dominio o dispositivos remotos afectados experimentaron fallas o se volvieron inalcanzables.
Microsoft proporcionó una solución temporal que requiere que los administradores reinicien los adaptadores de red manualmente mediante el comando PowerShell:
powershellRestart-NetAdapter *
Sin embargo, esta solución debía repetirse después de cada reinicio hasta que se instalara la solución permanente.
Las actualizaciones de junio abordan un total de 66 vulnerabilidades, incluidas 10 clasificadas como críticas, y los atacantes utilizan activamente un exploit de día cero.
Microsoft recomienda encarecidamente la instalación inmediata de estas actualizaciones, enfatizando que contienen «mejoras importantes y resolución de problemas».
Para las organizaciones que aún ejecutan actualizaciones anteriores a junio, Microsoft desaconseja configurar la clave de registro AllowNtAuthPolicyBypass en «2» en los controladores de dominio que manejan la autenticación basada en certificados autofirmados hasta que se instalen las últimas actualizaciones.
Estas correcciones representan mejoras de estabilidad cruciales para los entornos de Windows Server 2025, en particular aquellos que utilizan protocolos de autenticación modernos y capacidades de nube híbrida.
