AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Actualizaciones de Windows desde agosto de 2023 provocan fallos de autenticación en entornos con SID compartidos**

admin

### 1. Introducción

El ecosistema empresarial de Microsoft Windows ha vuelto a verse impactado por un problema crítico: las actualizaciones de seguridad lanzadas desde el 29 de agosto de 2023 están generando fallos en los procesos de autenticación en sistemas que comparten identificadores de seguridad (SID). Este incidente afecta especialmente a entornos corporativos con infraestructuras complejas, donde la gestión de identidades y permisos es fundamental para la continuidad operativa y el cumplimiento normativo.

### 2. Contexto del Incidente

Microsoft ha reconocido oficialmente que varias actualizaciones recientes de Windows, tanto para versiones cliente como servidor, están provocando interrupciones en la autenticación de usuarios y servicios. El problema se manifiesta principalmente en dispositivos que, por prácticas heredadas o configuraciones específicas, comparten el mismo Security Identifier (SID). Esto es común en clonado de sistemas, despliegues masivos sin regeneración de SID o en ciertos escenarios de virtualización y recuperación ante desastres.

Las plataformas afectadas incluyen Windows 10, Windows 11 y Windows Server (2016, 2019 y 2022), aunque la incidencia parece ser mayor en entornos donde se utilizan herramientas de imagen y despliegue como Sysprep, pero no se regeneran los SIDs de forma adecuada.

### 3. Detalles Técnicos

El fallo se origina a raíz de cambios introducidos en las actualizaciones de seguridad acumulativas desde finales de agosto de 2023, que endurecen la validación de los SIDs en los procesos de autenticación basados en Kerberos y NTLM. En concreto, los sistemas que comparten un mismo SID experimentan bloqueos al intentar autenticarse en dominios Active Directory, acceder a recursos compartidos o ejecutar tareas programadas bajo credenciales de dominio.

Hasta el momento, Microsoft no ha asignado un identificador CVE específico, aunque se han documentado los vectores de ataque relacionados en la base de conocimientos KB5031364 y posteriores. Desde la perspectiva de MITRE ATT&CK, el incidente se relaciona con la táctica de “Credential Access” (ID: TA0006) y técnicas como “Valid Accounts” (T1078), ya que el fallo puede afectar a la rotación y gestión de credenciales legítimas.

Entre los Indicadores de Compromiso (IoC) detectados se encuentran errores recurrentes en los logs de eventos de seguridad de Windows, como el Event ID 4625 (An account failed to log on), con mensajes asociados a inconsistencias de SID o denegación de acceso.

### 4. Impacto y Riesgos

El alcance del problema es significativo en grandes organizaciones con procesos de despliegue automatizados. Microsoft estima que hasta el 6% de los sistemas empresariales podrían verse afectados, especialmente en verticales como educación, sanidad, administración pública y proveedores de servicios gestionados. El impacto directo incluye:

– **Interrupción de operaciones**: Usuarios y servicios no pueden autenticarse, lo que deriva en caídas de aplicaciones críticas, bloqueos en escritorios remotos y disrupción de flujos de trabajo automatizados.
– **Riesgo de cumplimiento**: El fallo puede impedir el acceso a datos protegidos por regulaciones como el GDPR o la Directiva NIS2, con potenciales sanciones económicas.
– **Aumento del riesgo de Shadow IT**: Los usuarios, ante la imposibilidad de autenticarse, pueden recurrir a soluciones no autorizadas o inseguras para mantener la productividad.

En términos económicos, los analistas de ciberseguridad estiman que una interrupción de este tipo puede generar pérdidas de entre 50.000 y 300.000 euros diarios en empresas medianas y grandes.

### 5. Medidas de Mitigación y Recomendaciones

Microsoft recomienda a los administradores de sistemas y equipos de seguridad las siguientes acciones inmediatas:

– **Identificación de sistemas con SID duplicados**: Utilizar herramientas como Sysprep o comandos como `wmic useraccount get name,sid` para detectar equipos con SIDs idénticos en el dominio.
– **Reasignación de SID**: Regenerar el SID de los sistemas afectados mediante Sysprep o utilidades de terceros, garantizando la unicidad en el entorno.
– **Aplicación de mitigaciones temporales**: Microsoft ha publicado scripts y directivas de grupo que permiten revertir parcialmente los cambios en la validación de SID hasta que se despliegue un parche definitivo.
– **Monitorización reforzada**: Configurar alertas en el SIEM para identificar fallos de autenticación anómalos y eventos de seguridad relacionados.

Se recomienda, asimismo, realizar pruebas exhaustivas en entornos de staging antes de desplegar nuevas actualizaciones en producción.

### 6. Opinión de Expertos

Expertos en ciberseguridad, como Fernando Guillén (CISO de una multinacional tecnológica), subrayan que “la gestión inadecuada de los SIDs es un riesgo latente en cualquier organización que automatice despliegues masivos de Windows. Este incidente pone de relieve la necesidad de auditar continuamente el inventario de activos y reforzar los procedimientos de imagen y provisión de sistemas”.

Por su parte, analistas de foros especializados como SANS y ISC indican que “el endurecimiento de la validación de SIDs era una medida esperada, pero la falta de comunicación clara previa y la ausencia de un CVE han dificultado la respuesta de los equipos SOC”.

### 7. Implicaciones para Empresas y Usuarios

El incidente evidencia la importancia de buenas prácticas en la gestión de identidades y despliegue de sistemas, especialmente ante el endurecimiento regulatorio de la Directiva NIS2, que establece obligaciones más estrictas en la gestión de riesgos y continuidad operativa. Para las empresas, el fallo supone una llamada de atención sobre la necesidad de inventariar, auditar y mantener actualizada su infraestructura, evitando prácticas heredadas que puedan derivar en vulnerabilidades operativas.

Para los usuarios finales, el principal impacto es la imposibilidad de acceder a recursos corporativos, lo que puede incentivar el uso de soluciones alternativas no seguras y aumentar la superficie de ataque.

### 8. Conclusiones

El problema generado por las actualizaciones de Windows desde agosto de 2023 subraya la complejidad de los entornos TI modernos y la criticidad que puede alcanzar una gestión deficiente de los SIDs. La rápida identificación y corrección de sistemas afectados, junto con una revisión de los procesos de despliegue, son esenciales para mitigar riesgos y garantizar la resiliencia operativa. La transparencia y la comunicación proactiva de los fabricantes serán clave para evitar incidentes similares en el futuro cercano.

(Fuente: www.bleepingcomputer.com)