Microsoft: Październikowe aktualizacje powodują problemy z uwierzytelnianiem kartami inteligentnymi w Windows - Security Bez Tabu

Microsoft: Październikowe aktualizacje powodują problemy z uwierzytelnianiem kartami inteligentnymi w Windows

Wprowadzenie do problemu / definicja luki

Październikowy zestaw poprawek Microsoftu (opublikowany 14 października 2025 r.) wywołał u części organizacji problemy z uwierzytelnianiem opartym o karty inteligentne i certyfikaty na systemach Windows 10, Windows 11 oraz Windows Server. Microsoft powiązał incydent z wprowadzonym domyślnie utwardzeniem kryptografii w usługach Windows Cryptographic Services. Sprawa została oznaczona jako znany problem (known issue), otwarty 17 października i oznaczony jako „Resolved” (z rozwiązaniem/procedurą) 20 października 2025 r. w panelu Release Health.

W skrócie

  • Objawy: brak rozpoznania kart jako dostawcy CSP w aplikacjach 32-bitowych, błędy przy podpisywaniu, awarie logowania CBA; komunikaty typu „invalid provider type specified” i CryptAcquireCertificatePrivateKey error.
  • Przyczyna: wymuszenie użycia KSP (Key Storage Provider) zamiast CSP (Cryptographic Service Provider) dla certyfikatów RSA na kartach, w ramach zabezpieczenia luki CVE-2024-30098.
  • Status: Microsoft udokumentował wykrywanie i obejście (klucz rejestru DisableCapiOverrideForRSA). Strona Release Health wskazuje stan „Resolved” od 20.10.2025 (17:49 PT).

Kontekst / historia / powiązania

Zmiana kryptograficzna jest częścią dłuższej ścieżki utwardzania tożsamości i kryptografii w Windows (m.in. modyfikacje zachowania CAPI/KSP, wzmocnienia Kerberosa i CBA w 2025 r.). W tym miesiącu Microsoft równolegle korygował inny błąd z Październikowego Patch Tuesday (niedziałające USB we Windows Recovery Environment), który naprawiono 20 października aktualizacją awaryjną KB5070773—to inny problem, ale pokazuje, że październikowe poprawki były wyjątkowo „ruchome”.

Analiza techniczna / szczegóły luki

Październikowe aktualizacje (m.in. KB5066791 dla Windows 10 22H2 i KB5066793/ KB5066835 dla gałęzi Windows 11/Server) egzekwują użycie KSP zamiast CSP dla certyfikatów RSA na kartach inteligentnych. Celem jest utrudnienie nadużyć opisanych w CVE-2024-30098 (obejście funkcji zabezpieczeń w Windows Cryptographic Services). Jeśli środowisko lub aplikacje oczekiwały starszego modelu CSP, pojawiają się błędy podczas operacji kryptograficznych i uwierzytelniania CBA.

Microsoft udokumentował również sposób detekcji ryzyka: przed wdrożeniem aktualizacji warto sprawdzić, czy w dzienniku System dla usługi Smart Card Service występuje Event ID 624 („system używa CAPI do operacji RSA”). Obecność zdarzenia wskazuje na większe prawdopodobieństwo wystąpienia problemu po aktualizacji.

Praktyczne konsekwencje / ryzyko

  • Tożsamość i dostęp: potencjalna niemożność logowania z użyciem kart inteligentnych (CBA) do stacji roboczych/serwerów oraz usług zależnych od certyfikatów użytkownika.
  • Procesy biznesowe: podpisy elektroniczne i operacje kryptograficzne w aplikacjach 32-bitowych mogą przestać działać do czasu dostosowania środowiska.
  • Utrzymanie: eskalacje do servicedesków i rolling back mogą zwiększać ryzyko ekspozycji, bo cofnięcie poprawek znosi również łatki bezpieczeństwa. Lepszą ścieżką jest kontrolowane obejście i kompatybilność po stronie aplikacji. (Wniosek na podstawie dokumentacji KB/Release Health.)

Rekomendacje operacyjne / co zrobić teraz

  1. Zweryfikuj wpływ w logach przed wdrożeniem szerokim frontem. Szukaj Event ID 624 w dzienniku System/Smart Card Service na reprezentatywnych hostach.
  2. Jeśli już wystąpił problem – zastosuj obejście Microsoftu (per-host):
    • Otwórz Regedit → przejdź do HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais → utwórz/edytuj wartość DWORD DisableCapiOverrideForRSA i ustaw 0restart. (Klucz nie jest dodawany przez system/aktualizacje – trzeba go utworzyć ręcznie). Uwaga: edycję rejestru wykonuj po kopii zapasowej.
  3. Rozmawiaj z dostawcami aplikacji i PKI. Celem jest usunięcie zależności od CSP i pełna zgodność z KSP. Obejście rejestrowe traktuj jako tymczasowe. (Potwierdza to komunikacja MS w Release Health/KB).
  4. Zachowaj aktualność poprawek. Nie cofaj całych pakietów, aby nie tracić łatek bezpieczeństwa—monitoruj panel Release Health dla swojego wydania (Windows 10/11/Server) i stosuj poprawki uzupełniające.
  5. Change management: wstrzymaj globalne wdrożenia do czasu weryfikacji w pilotażu; przygotuj GPO/skrpty ustawiające DisableCapiOverrideForRSA=0 na hostach dotkniętych problemem (zgodnie z polityką organizacji). (Wniosek operacyjny na bazie dokumentacji MS.)

Różnice / porównania z innymi przypadkami (październik 2025)

  • Smart card/KSP vs. WinRE/USB: Problemy z kartami wynikają z twardego przełączenia CSP→KSP (kompatybilność aplikacji), natomiast błąd WinRE/USB był klasycznym regresem sterowników/środowiska odzyskiwania i został naprawiony aktualizacją awaryjną KB5070773.

Podsumowanie / kluczowe wnioski

  • Październikowe łatki wymuszają KSP dla certyfikatów RSA na kartach, co poprawia bezpieczeństwo (CVE-2024-30098), ale ujawniło zależności od starego CSP w części środowisk.
  • Microsoft podał procedurę obejścia (DisableCapiOverrideForRSA=0) i oznaczył problem jako „Resolved” w Release Health (20.10.2025), jednak długofalowo należy zmigrować aplikacje i łańcuchy kryptograficzne do modelu KSP.

Źródła / bibliografia

  • BleepingComputer: „Microsoft warns of Windows smart card auth issues after October updates”, 20 paź 2025. (BleepingComputer)
  • Microsoft Release Health – Resolved issues (Windows 11 25H2): status, objawy, rejestr, daty 17–20 paź 2025. (Microsoft Learn)
  • Microsoft Support (KB) – KB5066791 (Windows 10 22H2), sekcja [Cryptography]: wymuszenie KSP i odwołanie do CVE-2024-30098. (Microsoft Support)
  • Microsoft Support/Release Health – KB5070773 (hotfix WinRE USB), tło innych problemów październikowych. (Microsoft Learn)