El pasado 12 de marzo Microsoft liberó una actualización para su servicio Windows Server 2022 que está causando problemas que afectan a los controladores de dominio de este.
Muchos usuarios lo estuvieron advirtiendo en Reedit desde ese día, los servidores se congelan y se reinician de forma inesperada debido a una fuga de memoria producida en el proceso LSASS (Servicio del subsistema de la autoridad de seguridad local).
El problema concreto según los usuarios que lo han reportado es: “Desde la instalación de las actualizaciones de marzo (Exchange y actualizaciones periódicas de Windows Server), la mayoría de nuestros DC muestran un uso de memoria LSASS en constante aumento (hasta que mueren).”
El servicio LSASS en el proceso responsable de hacer cumplir la política de seguridad de los sistemas Windows: verifica que los usuarios inicien sesión, gestiona los cambios de contraseña y crea tokens de acceso. El uso forzado del servicio puede venir provocado por las condiciones:
- Tiene muchas confianzas externas y muchas solicitudes de inicio de sesión simultáneos.
- Estas solicitudes de inicio de sesión no especifican el nombre de dominio.
Esto puede desembocar en retrasos o cuelgues a la hora de realizar la autenticación en el sistema o incluso reinicios al llegar al límite de uso de memoria de este.
Este problema alarma tanto a los usuarios porque al ser un archivo crucial del sistema, a menudo es falsificado por malware. Este servicio se ejecuta desde el directorio Windows\System32, por lo que, si se ejecuta desde otro directorio, lo más probable es que se trate de un virus.
Remedio temporal
- wusa /uninstall /kb:5035855
- wusa /uninstall /kb:5035849
- wusa /uninstall /kb:5035857
Conclusión
- En noviembre de 2022, Microsoft publicaba una actualización que afectaba a los servidores , provocando que se congelasen y reiniciasen.
- En marzo de 2022, Microsoft solucionó otro fallo de LSASS que provocaba reinicios en los DC de Windows Server.