Новости Путаница во времени: функция STS в Windows Server отправляет серверы в будущее

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Ошибки в Windows Secure Time Seeding приводят к скачкам времени до 2159 года.


4g724g0yih35cd4ei5za3dm8859jsmsp.jpg


Функция Windows Secure Time Seeding (STS) для Windows Server может Для просмотра ссылки Войди или Зарегистрируйся в системном времени на серверах, сдвигая его на месяцы или годы в вперед. Проблема особенно опасна для контроллеров доменов. В Microsoft знают об ошибках и советуют отключить эту функцию, если системное время сильно отличается от реального, и использовать NTP вместо STS.

Secure Time Seeding служит для контроля за сроками действия ключей и сертификатов безопасности путем анализа метаданных из исходящих SSL-соединений к удаленным серверам компании Microsoft.

Системные администраторы рассказали, что при работе с STS на некоторых высокозагруженных и критичных системах возникали проблемы с резкими изменениями системного времени. Например, Windows Server 2016 вдруг переводил свои системные часы на 55 дней вперед. В другом случае с Windows Server 2019 в августе 2022 года система сама перевела время на январь 2023 года, а потом через некоторое время вернула его назад.

Интересно, что в некоторых случаях сбой системного времени из-за STS происходил только на двух или трех серверах и повторялся каждые несколько месяцев. Иногда их системные часы прыгали на несколько недель, а в некоторых случаях их системное время менялось до 2159 года.

В других случаях STS меняла системное время на серверах с базами данных. Тогда начинали происходить сбои при подключении внешних клиентов, а также останавливалась система резервного копирования.

Системные администраторы отправляли отчёты об ошибках STS в Microsoft, однако в службе поддержки им не отвечали или закрывали заявки, так как это не относилось к критическим проблемам безопасности.

По мнению профильных экспертов, дизайн STS основан на фундаментально неверном понимании спецификации TLS. В описании Microsoft STS Для просмотра ссылки Войди или Зарегистрируйся , что некоторые реализации SSL вовсе не записывают текущее системное время сервера в поле ServerUnixTime. Вместо этого эти реализации (в основном широко распространенная библиотека OpenSSL) с 2014 года заполняют поле случайными значениями.

В случае проблем с STS специалисты по безопасности и разработчики из Microsoft (неофициально) рекомендуют Для просмотра ссылки Войди или Зарегистрируйся эту функцию вручную.
 
Источник новости
www.securitylab.ru

Похожие темы