Microsoft oznámil, že říjnové bezpečnostní aktualizace Windows z roku 2025 způsobují problémy s autentizací pomocí čipových karet a certifikátů kvůli změně navržené k posílení kryptografických služeb Windows.
Tento známý problém postihuje všechny verze Windows 10, Windows 11 a Windows Server, včetně nejnovějších verzí určených k širokému nasazení.
Postižení uživatelé mohou pozorovat různé příznaky, od nemožnosti podepisovat dokumenty a selhání aplikací používających autentizaci založenou na certifikátech až po to, že čipové karty nejsou rozpoznávány jako poskytovatelé CSP (Cryptographic Service Provider) v 32bitových aplikacích.
Mohou se také zobrazit chybové hlášení „invalid provider type specified“ a „CryptAcquireCertificatePrivateKey error.“
„Tento problém souvisí s nedávným vylepšením zabezpečení Windows, které používá KSP (Key Storage Provider) místo CSP (Cryptographic Service Provider) pro certifikáty čipových karet založené na RSA za účelem zlepšení kryptografie,“ uvedl Microsoft.
„Můžete zjistit, zda bude vaše čipová karta tímto problémem ovlivněna, pokud před instalací říjnové bezpečnostní aktualizace Windows pozorujete přítomnost Event ID 624 v systémových protokolech událostí pro službu Smart Card Service.“
Jak společnost vysvětlila, tento známý problém nastává, protože aktualizace zabezpečení z tohoto měsíce automaticky ve výchozím nastavení povolují bezpečnostní opravu navrženou k řešení zranitelnosti obcházení bezpečnostní funkce (CVE-2024-30098) v kryptografických službách Windows, vestavěné službě Windows, která zpracovává operace související se zabezpečením a kryptografií.
Tato oprava je povolena nastavením hodnoty registru DisableCapiOverrideForRSA na 1, aby se izolovaly kryptografické operace od implementace čipové karty a zablokovalo se útočníkům vytvoření kolize hash SHA1 pro obcházení digitálních podpisů na zranitelných systémech.
Ti, kteří mají problémy s autentizací, mohou problém dočasně vyřešit zakázáním klíče registru DisableCapiOverrideForRSA pomocí následujícího postupu:
1. Otevřete Editor registru. Stiskněte Win + R, napište regedit a stiskněte Enter. Pokud se zobrazí výzva Řízení uživatelských účtů, klikněte na Ano.
2. Přejděte na podklíč. Přejděte na: HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalais.
3. Upravte klíč a nastavte hodnotu. Uvnitř Calais zkontrolujte, zda existuje klíč DisableCapiOverrideForRSA. Dvakrát klikněte na DisableCapiOverrideForRSA. Do Value data zadejte: 0.
4. Zavřete a restartujte. Zavřete Editor registru. Restartujte počítač, aby se změny projevily.
Je však důležité poznamenat, že před úpravou registru Windows byste měli nejprve zálohovat registr, protože jakékoli chyby by mohly vést k problémům se systémem.
I když to problém zmírní, klíč registru DisableCapiOverrideForRSA bude v dubnu 2026 odstraněn a Microsoft doporučil postiženým uživatelům, aby spolupracovali se svými dodavateli aplikací na vyřešení základního problému.
„Pro trvalé řešení by vývojáři měli aktualizovat svou autentizační aplikaci tak, aby prováděla získávání úložiště klíčů pomocí Key Storage API zdokumentovaného v Key Storage and Retrieval,“ dodal Microsoft.
Redmond opravil podobný problém, který způsoboval selhání autentizace pomocí čipových karet v systémech Windows 10 při připojování přes Vzdálenou plochu.
Ve čtvrtek Microsoft opravil další známý problém narušující webové stránky IIS a připojení HTTP/2 localhost (127.0.0.1) po instalaci nedávných bezpečnostních aktualizací Windows.
Téhož dne společnost také odstranila dvě blokace kompatibility, které bránily uživatelům v upgradu jejich systémů na Windows 11 24H2 prostřednictvím služby Windows Update.
Zdroj: bleepingcomputer.com
Zdroj: IT SECURITY NETWORK NEWS
