Problemas en Lsass dentro de Windows Server



El pasado 12 de marzo Microsoft liberó una actualización para su servicio Windows Server 2022 que está causando problemas que afectan a los controladores de dominio de este.

Muchos usuarios lo estuvieron advirtiendo en Reedit  desde ese día, los servidores se congelan y se reinician de forma inesperada debido a una fuga de memoria producida en el proceso LSASS (Servicio del subsistema de la autoridad de seguridad local).

El problema concreto según los usuarios  que lo han reportado es: “Desde la instalación de las actualizaciones de marzo (Exchange y actualizaciones periódicas de Windows Server), la mayoría de nuestros DC muestran un uso de memoria LSASS en constante aumento (hasta que mueren).”

El servicio LSASS en el proceso responsable de hacer cumplir la política de seguridad de los sistemas Windows: verifica que los usuarios inicien sesión, gestiona los cambios de contraseña y crea tokens de acceso. El uso forzado del servicio puede venir provocado por las condiciones:

  • Tiene muchas confianzas externas y muchas solicitudes de inicio de sesión simultáneos.
  • Estas solicitudes de inicio de sesión no especifican el nombre de dominio.

Esto puede desembocar en retrasos o cuelgues a la hora de realizar la autenticación en el sistema o incluso reinicios al llegar al límite de uso de memoria de este.

Este problema alarma tanto a los usuarios porque al ser un archivo crucial del sistema, a menudo es falsificado por malware. Este servicio se ejecuta desde el directorio Windows\System32, por lo que, si se ejecuta desde otro directorio, lo más probable es que se trate de un virus.

Las actualizaciones relacionadas son KB5035855 (Windows Server 2016) y KB5035857 (Windows Server 2022), sin embargo, el 20 de marzo Microsoft reconoció  que el problema afecta a todos los servidores de controladores de dominio con las últimas actualizaciones: Windows Server 2022, 2019, 2016 y 2012 R2.
Según Microsoft: “Esto se observa cuando los controladores de dominio de Active Directory locales y basados en la nube atienden solicitudes de autenticación Kerberos. Las pérdidas extremas de memoria pueden causar que LSASS falle, lo que desencadena un reinicio no programado de los controladores de dominio (DC) subyacentes”.

Remedio temporal

Microsoft a día de la redacción de este artículo aún no ha publicado una solución para este grave problema de pérdida de memoria y por el momento la solución temporal es no actualizar los servicios o volver a una actualización anterior en el caso de que hayan sido ya actualizados.

Para ello, se debe utilizar la terminal con permisos de administrador y según que actualización se haya instalado en los controladores de dominio afectados, se debe ejecutar uno de estos comandos:
  • wusa /uninstall /kb:5035855
  • wusa /uninstall /kb:5035849
  • wusa /uninstall /kb:5035857

Conclusión

Este problema con el proceso LSASS no es nuevo, ha ocurrido en varias ocasiones como, por ejemplo:
  • En noviembre de 2022, Microsoft publicaba una actualización que afectaba a los servidores , provocando que se congelasen y reiniciasen.
  • En marzo de 2022, Microsoft solucionó otro fallo de LSASS que provocaba reinicios en los DC de Windows Server.
Analizando como trabaja las soluciones de sus parches Microsoft, todo apunta a que este problema será solucionado en la siguiente actualización de abril.

Javier Muñoz, Analista de Ciberseguridad en Zerolynx.