Dopo l’installazione della cumulative update KB5040430 (Patch Tuesday 9 luglio 2024) su un server NPS con add‑on Entra/Azure RADIUS, molte aziende hanno visto bloccarsi l’autenticazione RADIUS verso il firewall (Check Point, Sophos, ecc.), con conseguente indisponibilità delle VPN.

Panoramica del problema

L’aggiornamento KB5040430 introduce, tra le altre cose, le mitigazioni per la vulnerabilità CVE‑2024‑3596 “Blast‑RADIUS”. In diversi ambienti, l’inasprimento dei controlli RADIUS imposto da KB5040430 (e dal correlato KB5040268 per altre versioni di Windows) ha innescato incompatibilità con implementazioni RADIUS di alcuni firewall. Il risultato pratico è che le richieste di autenticazione, pur partendo correttamente dall’NPS e arrivando al firewall, vengono scartate dal firewall a causa di divergenze nel pacchetto Access‑Request. L’utilizzo di un NPS non aggiornato ripristina immediatamente la VPN, confermando la correlazione con la patch.

Ambiente tipico e sintomi osservati

• Server RADIUS: Network Policy Server (Windows Server) con estensione Microsoft Entra (ex Azure AD) per MFA/CBA.
• Client RADIUS: firewall per VPN remote access (es. Check Point o Sophos).
• Protocollo: EAP/PEAP con MSCHAPv2 o EAP‑TLS; porta 1812/UDP per autenticazione.
• Dopo KB5040430: ogni tentativo di connessione VPN fallisce; l’utente vede credenziali rifiutate o time‑out; il firewall scarta la richiesta; l’NPS registra eventi di richiesta ma non errori espliciti.
• Con NPS non aggiornato: la stessa connessione funziona; le policy e i secret RADIUS sono invariati.

Perché succede

“Blast‑RADIUS” sfrutta debolezze storiche di RADIUS (autenticatore basato su MD5 e assenza del campo Message‑Authenticator in alcune combinazioni) per consentire a un attaccante in posizione intermedia di manipolare pacchetti. Le mitigazioni di Microsoft introducono verifiche più rigide e comportamenti più conformi alle RFC (in particolare l’uso e la validazione dell’attributo Message‑Authenticator, binding più stretto tra scambio EAP e Access‑Request, e rifiuto di pacchetti considerati non conformi). Alcuni firewall non pienamente allineati a tali aspettative possono:

• scartare Access‑Request contenenti Message‑Authenticator calcolati in modo differente da quanto atteso dal loro stack;
• non includere/accettare attributi ormai considerati “obbligatori” nelle nuove condizioni;
• rigettare pacchetti per variazioni nell’ordine o nella semantica degli attributi convalidati.

Nel periodo immediatamente successivo al Patch Tuesday di luglio 2024, è stata segnalata incompatibilità soprattutto con Check Point e Sophos. In diversi casi i vendor hanno pubblicato workaround e hotfix, con indicazioni di una correzione più ampia attesa via firmware entro il Q4 2024.

Come diagnosticare in modo rapido

1. Conferma del perimetro: se hai due NPS (uno aggiornato e uno no), punta temporaneamente il firewall verso l’NPS non aggiornato. Se la VPN riparte, la regressione è correlata a KB5040430/KB5040268.
2. Verifica patch sul server: Get-HotFix -Id KB5040430 Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 20 Assicurati dell’ID esatto della patch in base alla tua versione di Windows Server.
3. Controllo Event Viewer (NPS): Applications and Services Logs > Microsoft > Windows > Network Policy and Access Services. Cerca eventi 6272/6273 e note sul motivo di rifiuto. Spesso non c’è un errore chiaro perché la richiesta parte regolarmente e viene respinta lato firewall.
4. Traccia RADIUS con Wireshark (su NPS o span/port‑mirror): udp.port == 1812 or udp.port == 1645 Ispeziona i pacchetti Access‑Request e verifica la presenza dell’attributo Message‑Authenticator (80). Confronta Access‑Request NPS aggiornato vs NPS non aggiornato, notando eventuali differenze di attributi/ordine/lunghezza.
5. Debug sul firewall: abilita il log RADIUS del vendor e osserva la causa di drop (mismatch del Message‑Authenticator, attributi non attesi, pacchetto ritenuto “malformed”).

Soluzioni e workaround emersi

La tabella seguente riassume le opzioni discusse in scenari reali, con pro e contro.

Azione	Vantaggi	Svantaggi / Note
Disinstallare KB5040430 dal server NPS	Ripristina immediatamente la VPN	Espone il server alle altre vulnerabilità corrette dalla patch; va considerata misura temporanea e mitigata con segmentazione e hardening
Segnalare il bug a Microsoft (Feedback Hub / ticket Premier)	Aumenta la probabilità di un fix ufficiale o KIR	Non è una soluzione immediata; i tempi non sono controllabili
Verificare advisory/KB del vendor firewall	Allinea il firewall alle nuove aspettative RADIUS	Richiede patch/firmware (es. Jumbo Hotfix su Check Point; aggiornamenti su Sophos), spesso pianificati e non immediati
Applicare workaround del vendor (parametri RADIUS, hotfix mirati)	Mantiene attiva la patch di sicurezza Windows	Workaround temporaneo finché non esce la patch definitiva; va testato con cura

Indicazioni operative consigliate

Obiettivo a breve termine: ripristino servizio

1. Se accettabile dal punto di vista del rischio, rimuovi KB5040430 dall’NPS interessato per ripristinare la continuità del business: wusa /uninstall /kb:5040430 /quiet /norestart Nota: in scenari server‑core o quando WUSA non è applicabile, individua il nome pacchetto e rimuovilo con DISM: DISM /Online /Get-Packages | findstr /i "KB5040430" DISM /Online /Remove-Package /PackageName:<nome_pacchetto> Pianifica subito le compensazioni di sicurezza (vedi “Hardening quando la patch è rimossa”).
2. In alternativa, se disponi di un NPS “di scorta” non aggiornato, switcha temporaneamente i firewall su quello, mantenendo il server patchato offline per analisi. Questo approccio riduce l’esposizione perché non richiede disinstallazioni su produzione.

Obiettivo a medio termine: mantenere la postura di sicurezza

• Apri un ticket presso Microsoft allegando: catture pcap con Access‑Request errato e corretto; eventi NPS; versione OS + elenco KB; versioni firmware del firewall.
• Consulta le note del vendor firewall (ad es. Check Point sk182516 e sk42184; Sophos thread “IPSEC/L2TP with Radius”). Verifica la disponibilità di hotfix/Jumbo specifici che armonizzano il calcolo e la convalida del Message‑Authenticator e l’handling RADIUS post‑KB5040430.
• Applica il workaround del vendor se offerto (ad esempio parametri avanzati RADIUS o hotfix privati) e mantieni KB5040430 attiva. Documenta la modifica e programma la rimozione del workaround quando il firmware generale sarà rilasciato.

Hardening quando la patch è rimossa

• Segmenta l’NPS su VLAN/zone fidate; consenti RADIUS solo da indirizzi dei firewall/VPN gateway noti.
• Limita la superficie: chiudi porte inutili, consenti 1812/1813 solo da IP sorgenti autorizzati, attiva ACL a monte.
• Rendi trasparente l’eccezione: apri un change con data di scadenza; monitora la disponibilità del fix ufficiale; riesamina settimanalmente.
• Rafforza l’autenticazione: preferisci EAP‑TLS rispetto a PEAP/MSCHAPv2 dove possibile; applica certificati moderni con chiavi robuste; verifica CRL/OCSP.

Check Point: note specifiche

• In ambienti R81.x e R80.x è stato spesso necessario un Jumbo Hotfix per armonizzare il calcolo/validazione di Message‑Authenticator con i server NPS post‑luglio 2024.
• In attesa del Jumbo, alcuni amministratori hanno mitigato con un workaround di configurazione lato RADIUS client (ad esempio impostazioni avanzate sul gateway) fornito dall’assistenza del vendor.
• Verifica le SmartConsole Logs alla voce “Authentication failed” con dettagli RADIUS, confrontando l’orario con le catture pcap.

Sophos: note specifiche

• In scenari L2TP/IPsec con RADIUS sono stati riportati rifiuti del pacchetto Access‑Request in seguito all’aggiornamento di NPS.
• Il vendor ha comunicato workaround temporanei e un firmware correttivo pianificato per Q4 2024; verifica lo stato attuale per la tua release (SFOS) e applica la versione che contiene il fix RADIUS.
• Nel frattempo, evita di degradare l’autenticazione (es. passare a PAP) se non in laboratorio: PAP non offre protezione delle credenziali ed è da considerarsi ultima spiaggia per test.

Best practice di diagnostica approfondita

Confronto dei pacchetti

Affianca due tracce: NPS aggiornato vs NPS non aggiornato. A parità di utente e policy dovresti rilevare differenze su:

• presenza/assenza dell’attributo Message‑Authenticator (80);
• ordine degli attributi State, NAS‑Identifier, Calling‑Station‑Id;
• dimensione del payload EAP incorporato nel RADIUS;
• eventuali campi considerati “malformed” dal parser del firewall.

Log NPS

Attiva il Logging Accounting su file (formato IAS) in %SystemRoot%\System32\LogFiles e, se compatibile con la tua policy, valuta un log su database per correlazioni avanzate. Ricorda che l’NPS può registrare “Access‑Request inoltrato” senza evidenziare il successivo rifiuto del firewall.

Piano di remediation raccomandato

1. Stabilizza il servizio (rollback della patch o failover su NPS non aggiornato) con change controllato e finestra di rientro definita.
2. Raccogli evidenze (pcap, eventi, versioni, timeline) e apri ticket verso:
   • Microsoft (NPS/KB5040430/KB5040268 + Entra NPS Extension)
   • Vendor del firewall (Check Point/Sophos), citando incompatibilità post‑mitigazioni Blast‑RADIUS.
3. Applica workaround ufficiali offerti dal vendor firewall e mantieni la patch Windows.
4. Pianifica l’upgrade a firmware che risolve la compatibilità (target indicato Q4 2024 per diverse piattaforme) e rimuovi eventuali workaround.
5. Disegna una strategia di lungo termine:
   • preferisci EAP‑TLS su PEAP/MSCHAPv2;
   • valuta un RADIUS proxy conforme alle RFC che faccia da cuscinetto tra NPS e gateway VPN;
   • prepara un canary ring per gli aggiornamenti Windows su server infrastrutturali.

Stato al termine della discussione

• La disinstallazione di KB5040430 ha reso nuovamente operative le VPN.
• Il vendor del firewall ha fornito un workaround; un firmware correttivo generale è stato indicato come atteso nel Q4 2024.
• Si attende un riconoscimento esplicito da parte di Microsoft con fix/aggiornamento cumulativo che non interrompa l’autenticazione RADIUS.

Domande frequenti

È sicuro disinstallare KB5040430 sull’NPS?
No. È una misura d’emergenza: riduce la protezione contro vulnerabilità patchate (non solo Blast‑RADIUS). Se lo fai, applica immediatamente segmentazione, ACL, monitoraggio e pianifica il rientro.

Passare temporaneamente a PAP risolve?
Potrebbe aggirare alcune verifiche, ma espone le credenziali. Sconsigliato in produzione. Valutalo solo in laboratorio per isolare il problema.

EAP‑TLS evita il problema?
EAP‑TLS è preferibile per sicurezza complessiva, ma la compatibilità RADIUS lato firewall deve comunque essere corretta. Non è una “bacchetta magica” se il client RADIUS scarta l’Access‑Request.

NPS supporta RadSec (RADIUS su TLS)?
In molti ambienti NPS lavora su UDP. Se necessiti di RadSec, valuta componenti proxy/terminatori RadSec conformi alle RFC che parlino con NPS lato interno in UDP e con i gateway in TLS, laddove supportato.

Appendice: comandi utili

Inventario patch

Get-HotFix | Sort-Object InstalledOn -Descending
Get-HotFix -Id KB5040430
wmic qfe list brief /format:table

Rollback della patch

wusa /uninstall /kb:5040430 /quiet /norestart
DISM /Online /Get-Packages | findstr /i "KB5040430"
DISM /Online /Remove-Package /PackageName:<nome_pacchetto> /Quiet /NoRestart

Esportare/importare configurazione NPS

netsh nps export filename="C:\temp\nps-export.xml" exportPSK=YES
netsh nps import filename="C:\temp\nps-export.xml"

Wireshark: filtri rapidi

udp.port == 1812 or udp.port == 1645
radius.code == 1  # Access-Request
radius.code == 2  # Access-Accept
radius.code == 3  # Access-Reject

Appendice: checklist di rilascio in sicurezza

• Clona NPS in laboratorio; import policy; replica certificati.
• Applica KB e firmware del firewall in lab; esegui test con tutti i profili (Windows/macOS/iOS/Android).
• Conferma che Message‑Authenticator è presente e validato nei flussi attesi.
• Definisci criteri di rollback (chi decide, entro quanto, quali script eseguire).
• Comunica all’helpdesk cosa aspettarsi in caso di ricadute (codici errore client VPN e log da raccogliere).
• Monitora con soglie e alert su tassi di Access‑Reject per client/VPN gateway.

Indicazioni aggiuntive

1. Verifica periodicamente la disponibilità di fix Microsoft (inclusi eventuali Known Issue Rollback) relativi a RADIUS post‑KB5040430/KB5040268; se presenti, applicali.
2. Segmenta la superficie d’attacco: se opti per la rimozione della patch, limita l’esposizione dell’NPS a reti interne affidabili e applica ACL stringenti.
3. Testa sempre in laboratorio le patch Windows e del firewall prima della distribuzione in produzione, specialmente quando toccano protocolli critici come RADIUS e VPN.

Modello di comunicazione verso il business

Per minimizzare l’impatto e preservare la fiducia degli stakeholder, suggeriamo il seguente canovaccio:

• Descrizione sintetica: “A seguito della patch KB5040430, le VPN hanno subito disservizi per incompatibilità RADIUS tra NPS e firewall”.
• Rimedio immediato: “Ripristinato il servizio via rollback controllato / failover temporaneo”.
• Rischio residuo: “L’NPS è temporaneamente privo della patch; mitigazioni implementate: segmentazione, ACL, monitoraggio”.
• Piano: “In coordinamento con i vendor, applicheremo workaround/hotfix e rientreremo alla patch entro <data target>”.

Conclusioni

KB5040430 ha chiuso falle significative legate a Blast‑RADIUS, ma ha anche evidenziato quanto fragile possa essere l’interoperabilità quando un protocollo storico viene reso più rigoroso. Un approccio in tre mosse—ripristino controllato, workaround del vendor, upgrade definitivo—consente di mantenere la continuità della VPN senza abbassare in modo permanente il livello di sicurezza. Documenta ogni passaggio, conserva le evidenze tecniche e istituisci un ciclo di test pre‑produzione per tutti i componenti critici (sistemi operativi, NPS/Entra Extension, firmware dei firewall). Così trasformi un incidente in una lezione di resilienza operativa.

---