8 de noviembre de 2022: KB5020023 (paquete acumulativo mensual)
Fecha de lanzamiento:
08/11/2022
Versión:
Paquete acumulativo mensual
Resumen
Más información sobre esta actualización de seguridad acumulativa, incluidas las mejoras, todos los problemas conocidos y cómo obtener la actualización.
RECORDATORIO Windows 8.1 llegará a la finalización del soporte el 10 de enero de 2023, momento en el que ya no se proporcionará asistencia técnica ni actualizaciones de software. Si tienes dispositivos que ejecutan Windows 8.1, te recomendamos que los actualices a una versión de Windows más reciente, que esté en servicio y reciba asistencia. Si los dispositivos no cumplen los requisitos técnicos para ejecutar una versión más actual de Windows, recomendamos reemplazar el dispositivo por uno que admita Windows 11.
Microsoft no ofrecerá Actualizaciones de seguridad extendida (ESU) para Windows 8.1. Si sigues usando Windows 8.1 más allá del 10 de enero de 2023, podrías aumentar la exposición de una organización a riesgos de seguridad o afectar a su capacidad para cumplir con las obligaciones de cumplimiento.
Para obtener más información, consulta el soporte técnico para Windows 8.1 finalizará el 10 de enero de 2023.
Windows Server 2012 R2 alcanzará la finalización del soporte el 10 de octubre de 2023 para Datacenter, Essentials, Embedded Systems, Foundation y Standard.
Nota Para obtener información sobre los distintos tipos de actualizaciones de Windows, como las críticas, la seguridad, los controladores, los Service Pack, etc., consulta el artículo siguiente. Para ver otras notas y mensajes, consulta la página principal del historial de actualizaciones de Windows 8.1 y Windows Server 2012 R2.
Mejoras
Esta actualización de seguridad acumulativa incluye mejoras que forman parte de la actualización KB5018474 (publicada el 11 de octubre de 2022) e incluye cambios clave para lo siguiente:
-
Corrige un problema de protección de la autenticación del modelo de objetos componentes distribuidos (DCOM) para elevar automáticamente el nivel de autenticación para todas las solicitudes de activación no anónimas de clientes DCOM. Esto se producirá si el nivel de autenticación es menor que RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
-
Novedades el horario de verano (DST) para Jordania para evitar que el reloj retroceda 1 hora el 28 de octubre de 2022. Además, cambia el nombre para mostrar de la hora estándar de Jordania de "(UTC+02:00) Amman" a "(UTC+03:00) Ammán".
-
Se corrige un problema por el que Microsoft Azure Active Directory (AAD) Application Proxy Connector no puede recuperar un vale de Kerberos en nombre del usuario debido al siguiente error general de la API: "El controlador especificado no es válido (0x80090301)."
-
Se corrige un problema que provocaba que, después de instalar la actualización del 11 de enero de 2022 o posterior, el proceso de creación de Forest Trust no rellenara los sufijos de nombres DNS en los atributos de información de confianza.
-
Se corrige un problema por el que el tiempo de ejecución redistribuible de Microsoft Visual C++ no se carga en el servicio del servidor de autoridad de seguridad local (LSASS) cuando la luz de proceso protegida (PPL) está habilitada.
-
Corrige vulnerabilidades de seguridad en los protocolos Kerberos y Netlogon, como se describe en CVE-2022-38023, CVE-2022-37966 y CVE-2022-37967. Para obtener instrucciones sobre la implementación, vea los artículos siguientes:
-
KB5020805: Cómo administrar los cambios de protocolo Kerberos relacionados con CVE-2022-37967
-
KB5021130: Cómo administrar los cambios del protocolo Netlogon relacionados con CVE-2022-38023
-
KB5021131: Cómo administrar los cambios de protocolo Kerberos relacionados con CVE-2022-37966
Para obtener más información sobre las vulnerabilidades de seguridad resueltas, consulte implementaciones | Guía de actualización de seguridad y la Novedades de seguridad de noviembre de 2022.
-
Para obtener más información sobre las vulnerabilidades de seguridad resueltas, consulte implementaciones | Guía de actualización de seguridad y la Novedades de seguridad de noviembre de 2022.
Problemas conocidos en esta actualización
Síntoma |
Paso siguiente |
Después de instalar esta actualización o una actualización de Windows posterior, es posible que las operaciones de unión a dominios no sean satisfactorias y que se produzca el error "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Además, existe texto que indica "Existe una cuenta con el mismo nombre en Active Directory. Es posible que la directiva de seguridad haya bloqueado el uso de la cuenta". Entre los escenarios afectados se incluyen algunas operaciones de unión a dominio o re-creación de imágenes en las que una cuenta de equipo se creó o preconfiguró con una identidad diferente a la que se usó para unir o volver a unir el equipo al dominio. Para obtener más información sobre este problema, consulta KB5020276: Netjoin: cambios de protección de la unión a un dominio. Nota Es poco probable que las ediciones de escritorio para particulares de Windows experimenten este problema. |
Este problema se resuelve en KB5023765. |
Después de instalar actualizaciones de Windows publicadas a partir del 8 de noviembre de 2022 en servidores Windows que utilizan el rol de controlador de dominio, es posible que tenga problemas con la autenticación Kerberos. Este problema podría afectar a cualquier autenticación Kerberos en su entorno. Algunos escenarios que pueden verse afectados:
Cuando se encuentra este problema, es posible que reciba un evento de error Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 4 en la sección Sistema del registro de eventos de su controlador de dominio con el siguiente texto. Nota Los eventos afectados contendrán la cadena "la clave que falta tiene un id. de 1":
Nota Este problema no forma parte del refuerzo de seguridad para Netlogon y Kerberos a partir de la actualización de seguridad de noviembre de 2022. Seguirá teniendo que seguir las instrucciones de estos artículos incluso después de resolver este problema. Los dispositivos Windows que los consumidores utilizan en casa o los dispositivos que no forman parte de un dominio local no se ven afectados por este problema. Los entornos de Azure Active Directory que no son híbridos y no tienen servidores de Active Directory locales no se ven afectados. |
Este problema se corrige en la actualización KB5021653. |
Después de instalar esta actualización o una actualización posterior en un controlador de dominio (DC), es posible que experimente una pérdida de memoria con el servicio de subsistema de autoridad de seguridad local (LSASS,exe). Según la carga de trabajo del controlador de dominio y la cantidad de tiempo desde el último reinicio del servidor, LSASS podría aumentar continuamente el uso de memoria con el tiempo de actividad del servidor y el servidor podría dejar de responder o reiniciarse automáticamente. Nota Las actualizaciones fuera de banda para los equipos de distribución publicadas el 17 de noviembre de 2022 y el 18 de noviembre de 2022 pueden verse afectadas por este problema. |
Para mitigar este problema, abra un símbolo del sistema como administrador y use el siguiente comando para establecer la clave del Registro KrbtgtFullPacSignature en 0:
Nota: Después de resolver este problema conocido, debe establecer KrbtgtFullPacSignature en una configuración más alta, dependiendo de lo que permita su entorno. Le recomendamos que habilite el modo de obligatoriedad tan pronto como el entorno esté listo. Para obtener más información sobre esta clave del Registro, consulta KB5020805: Cómo administrar los cambios del protocolo Kerberos relacionados con CVE-2022-37967. Estamos buscando una resolución y proporcionaremos una actualización en una próxima versión. |
Después de instalar esta actualización, es posible que las aplicaciones que usan conexiones ODBC a través de Microsoft ODBC SQL Server Driver (sqlsrv32.dll) para acceder a bases de datos no se puedan conectar. Además, es posible que reciba un error en la aplicación o que reciba un error de la SQL Server. Entre los errores que pueden recibirse se incluyen los siguientes mensajes:
Nota para desarrolladores: Es posible que las aplicaciones afectadas por este problema no puedan capturar datos, por ejemplo, al usar la función SQLFetch. Este problema puede ocurrir al llamar a la función SQLBindCol antes de SQLFetch o al llamar a la función SQLGetData después de SQLFetch y cuando se proporciona un valor de 0 (cero) para el argumento 'BufferLength' para tipos de datos fijos mayores que 4 bytes (como SQL_C_FLOAT). Para decidir si usa una aplicación afectada, abra la aplicación que se conecta a una base de datos. Abre una ventana del símbolo del sistema, escribe el siguiente comando y, a continuación, presiona Entrar:
Si el comando devuelve una tarea, es posible que la aplicación se vea afectada. |
Para mitigar este problema, puede realizar una de las siguientes acciones:
Este problema se ha resuelto en KB5022352. Si ha implementado la solución alternativa anterior, se recomienda seguir usando la configuración en la solución alternativa. |
Cómo obtener esta actualización
Antes de instalar esta actualización
Le recomendamos encarecidamente que instale la actualización de pila de mantenimiento (SSU) más reciente para su sistema operativo antes de instalar el paquete acumulativo más reciente. Las SSU mejoran la confiabilidad del proceso de actualización para mitigar posibles problemas a la hora de instalar el paquete acumulativo y aplicar las correcciones de seguridad de Microsoft. Para obtener información general sobre las SSU, consulta Actualizaciones de pila de mantenimiento y Novedades de pila de mantenimiento (SSU): preguntas más frecuentes.
Si usas Windows Update, la última SSU (KB5018922) se te ofrecerá automáticamente. Para obtener el paquete independiente de la SSU más reciente, búsquelo en el Catálogo de Microsoft Update.
Paquetes de idiomas
Si se instala un paquete de idioma después de esta actualización, habrá que volver a instalar la actualización. Por tanto, se recomienda instalar los paquetes de idioma necesarios antes de instalar esta actualización. Para más información, vea Agregar paquetes de idioma a Windows.
Instalar esta actualización
Canal de publicación |
Disponible |
Siguiente paso |
Windows Update y Microsoft Update |
Sí |
Ninguna. Esta actualización se descargará e instalará automáticamente desde Windows Update. |
Catálogo de Microsoft Update |
Sí |
Para obtener el paquete independiente para esta actualización, ve al sitio web del Catálogo de Microsoft Update. |
Windows Server Update Services (WSUS) |
Sí |
Esta actualización se sincronizará automáticamente con WSUS si configura Productos y clasificaciones de esta forma: Producto: Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro Clasificación: actualizaciones de seguridad |
Información de archivo
Para obtener una lista de los archivos que se proporcionan en esta actualización, descarga la información del archivo para la actualización KB5020023.
Referencias
Obtenga información sobre la terminología estándar que se usa para describir las actualizaciones de software de Microsoft.