Un bug nei Domain Controller Windows di marzo/aprile 2024 ha causato un leak di memoria in LSASS.exe con riavvii improvvisi. Il cumulativo del 9 aprile 2024 non include la correzione: serve l’OOB del 25 marzo o, in alternativa, passare direttamente ai cumulativi di giugno 2024 (o successivi).
Quesito
Gli aggiornamenti cumulativi pubblicati il 9 aprile 2024 includono già la correzione fuori‑banda che risolve il leak di memoria di LSASS.exe (responsabile di riavvii improvvisi dei Domain Controller)?
Risposta breve: No. I cumulativi del Patch Tuesday del 9 aprile 2024 non incorporano la fix per il memory‑leak di LSASS.exe sui Domain Controller. La correzione è stata rilasciata fuori‑banda il 25 marzo 2024 e va installata separatamente su Windows Server interessati, oppure va applicato un cumulativo successivo (ad es. 11 giugno 2024 o oltre) che la include stabilmente.
Risultato emerso
- Il cumulativo del 9 aprile 2024 (KB 5036894 e omologhi per le varie edizioni) non contiene la fix LSASS né la menziona nelle note di rilascio.
- La correzione resta quella fuori‑banda del 25 marzo 2024, da installare a parte sui Domain Controller interessati.
Versione Windows Server | KB OOB del 25/03/2024 | Note |
---|---|---|
Windows Server 2022 | KB 5037422 | Fix out‑of‑band per il leak di LSASS su DC. |
Windows Server 2019 | KB 5037425 | Fix out‑of‑band per il leak di LSASS su DC. |
Windows Server 2016 | KB 5037423 | Fix out‑of‑band per il leak di LSASS su DC. |
Windows Server 2012 R2 | KB 5037426 | Disponibile per ambienti con idoneità/ESU. |
- Se il server ha già applicato le patch del 9 aprile 2024, in molti casi gli OOB di marzo potrebbero non installarsi per problemi di dipendenze/precedenze. È stato segnalato l’arrivo di pacchetti compatibili nelle settimane successive (poi superati dai cumulativi di maggio/giugno 2024).
- La fix è stata inclusa stabilmente nei cumulativi successivi: ad esempio nel Patch Tuesday dell’11 giugno 2024, che indica la risoluzione del memory‑leak LSASS scatenato dagli update di marzo/aprile.
Percorso di mitigazione consigliato
Server non ancora patchati ad aprile 2024
- Opzione A (consigliata): saltare direttamente a un cumulativo che include la correzione (giugno 2024 o successivi).
- Opzione B: installare prima il relativo KB 503742x OOB del 25/03/2024 (in base alla versione) e poi proseguire con il normale ciclo patch.
Server già patchati il 9 aprile 2024
- Pianificare la distribuzione dei cumulativi di maggio/giugno 2024 (o dell’eventuale OOB specifico compatibile) che incorporano la fix.
- Verificare l’esito con gli strumenti di inventario patch (es.
Get-HotFix
/wmic qfe list
) cercandoKB503742x
o un cumulativo successivo.
Che cosa provoca il bug (sintomi tecnici)
Il problema si manifesta con una crescita costante della memoria privata di LSASS.exe
nel tempo, tipicamente nell’ordine di ~1–2 GB/ora in ambienti attivi. Quando il processo raggiunge soglie critiche, va in crash e il Domain Controller si riavvia automaticamente. Gli impatti principali:
- Interruzioni di autenticazione Kerberos.
- Possibili problemi su LDAP, NTLM fallback, e servizi dipendenti da AD DS.
- Fail di logon interattivi e di servizio durante il riavvio del DC.
Indicatori nei log
- Eventi di Application Error per
lsass.exe
e riavvio di sistema conseguente. - Eventi di Directory‑Services e Kerberos‑Key‑Distribution‑Center con errori transitori attorno al crash.
- Eventi di USER32/Kernal‑Power relativi allo shutdown/restart non pianificato.
Come verificare se la fix è presente
Usare PowerShell o riga di comando per interrogare gli aggiornamenti installati su ciascun DC.
PowerShell
# Verifica puntuale su un server
Get-HotFix | Where-Object { $_.HotFixID -match 'KB5037422|KB5037423|KB5037425|KB5037426' } | Format-Table -Auto
Verifica cumulativi successivi (giugno 2024 in poi) per Windows Server 2022/2019/2016/2012 R2
Get-HotFix | Where-Object { $_.InstalledOn -ge (Get-Date '2024-06-01') } | Sort-Object InstalledOn -Descending | Select-Object -First 10 | Format-Table -Auto
WMIC / riga di comando
wmic qfe list full | findstr /I "KB5037422 KB5037423 KB5037425 KB5037426"
Verifica remota su tutti i DC del dominio
# Richiede RSAT/ActiveDirectory
$DCs = (Get-ADDomainController -Filter *).HostName
Invoke-Command -ComputerName $DCs -ScriptBlock {
$oob = 'KB5037422','KB5037423','KB5037425','KB5037426'
$hits = Get-HotFix | Where-Object { $oob -contains $_.HotFixID }
[PSCustomObject]@{
ComputerName = $env:COMPUTERNAME
Has_OOB = [bool]$hits
OOB_List = ($hits | Select-Object -ExpandProperty HotFixID) -join ','
LastCUs = (Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 5 | ForEach-Object HotFixID) -join ','
}
} | Format-Table -Auto
Monitorare e diagnosticare il leak
Per confermare il problema prima della fix, è utile osservare l’allocazione di memoria di LSASS.exe
nel tempo.
Performance Monitor (PerfMon)
- Oggetto: Process (istanza:
lsass
). - Contatori: Private Bytes, Working Set, Handle Count.
- Pattern: trend costante verso l’alto, senza stabilizzazione.
Raccolta con PowerShell
$log = "C:\Temp\lsassmemlog.csv"
"Timestamp,PrivateBytes,WorkingSet" | Out-File $log -Encoding utf8
1..180 | ForEach-Object {
$p = Get-Process -Name lsass -ErrorAction SilentlyContinue
if ($p) {
"{0},{1},{2}" -f (Get-Date), $p.PrivateMemorySize64, $p.WorkingSet64 |
Out-File $log -Append -Encoding utf8
}
Start-Sleep -Seconds 60
}
Write-Host "Log scritto in $log"
Un incremento di centinaia di MB ogni pochi minuti è tipico del problema osservato a marzo/aprile 2024.
Strategia di aggiornamento consigliata per i Domain Controller
Approccio a ring
- Ring 0 (pilota): 1 DC per sito secondario o un RODC non mission‑critical.
- Ring 1: resto dei DC nei siti meno critici.
- Ring 2: DC primari nei siti core (HQ/Datacenter).
Checklist pre‑patch
- Replicazione AD:
Repadmin /replsummary
&dcdiag /v
devono risultare puliti. - Backup di sistema recente e test di ripristino dell’Active Directory System State.
- Finestra di manutenzione con comunicazione a team e utenti.
- Controllo spazio disco e integrità dei NTDS/SYSVOL.
Sequenza operativa
- Applicare l’OOB del 25/03/2024 corrispondente oppure installare direttamente il cumulativo di giugno 2024 (o successivo).
- Riavviare il DC (obbligatorio per la fix).
- Verificare:
Get-HotFix
,Repadmin /showrepl
, autenticazioni client/casistiche kerberos (es. logon, mount CIFS, accesso a servizi). - Monitorare
LSASS.exe
per almeno 24 ore; il profilo di memoria deve stabilizzarsi.
Runbook di emergenza (se il DC entra in loop di riavvii)
- Rimuovere temporaneamente il DC dal DNS SRV (o mettere in maintenance nel load balancing dei servizi LDAP se presente) per ridurre nuove autenticazioni.
- Applicare la fix (OOB o cumulativo di giugno+) e riavviare.
- Controllare integrità NTDS e coda di replicazione. Se necessario forzare
Repadmin /syncall
. - Ripristinare i record DNS SRV e i site link una volta stabilizzato.
Domande frequenti (FAQ)
Il problema riguarda solo i Domain Controller?
Sì, principalmente. Il leak si è manifestato sui DC poiché LSASS.exe
gestisce autenticazioni e ruoli di KDC/LDAP in modo intensivo. I server membri in genere non sono interessati.
Devo patchare tutti i DC?
Sì. Anche se un singolo DC “buono” può reggere una parte del carico, è fondamentale che tutti i Domain Controller ricevano la correzione per evitare impatti imprevisti e ribilanciamenti DNS/Site che riportano i client verso un DC non corretto.
È necessario riavviare dopo l’OOB o il cumulativo che include la fix?
Sempre. Le patch che intervengono su componenti di sistema e su LSASS.exe
richiedono un riavvio per entrare in vigore.
Posso disinstallare gli aggiornamenti di marzo/aprile per fermare il leak?
È una strada non consigliata per i DC, perché può esporre a regressioni o vulnerabilità già coperte. La soluzione corretta è installare l’OOB del 25/03 o passare a giugno 2024+.
Come verifico rapidamente l’inventario della fix in un dominio grande?
Usa uno script PowerShell centralizzato che interroga tutti i DC (vedi esempio sopra) e produci un CSV con stato Has_OOB/LastCUs. Integra il controllo in CI/CD o nel sistema di patch management (SCCM/MECM, WSUS, Intune o equivalenti).
Esempi pratici di convalida post‑patch
Test di autenticazione Kerberos
# Creazione ticket e validazione SPN
klist purge
kinit <utente@DOMINIO>
klist
Verifica che i ticket si rilascino correttamente e che non compaiano errori di KDC. In ambienti Windows, controlla anche logon su workstation e accesso a share SMB con account di test.
LDAP bind e query
# Esempio con ADSI (bind semplice)
$root = [ADSI]"LDAP://RootDSE"
$root.defaultNamingContext
Controllo replicazione e salute del DC
dcdiag /v
repadmin /replsummary
repadmin /showrepl * /csv > C:\Temp\replica.csv
Tabella riassuntiva
Scenario | Azione raccomandata | Note operative |
---|---|---|
DC non patchati ad aprile 2024 | Installare OOB 25/03/2024 appropriato oppure passare direttamente a giugno 2024+ | Preferire salto diretto a un cumulativo che include la fix. |
DC già patchati il 9 aprile 2024 | Distribuire cumulativi di maggio/giugno 2024 (o OOB compatibile) | Verificare con Get-HotFix o inventario patch. |
Leak in corso (riavvii) | Applicare fix, riavvio, monitoraggio LSASS | Ridurre esposizione DNS SRV durante il ripristino. |
Ambiente misto (2012 R2/2016/2019/2022) | Applicare il relativo OOB per versione o cumulativo giugno+ | Attenzione ai prerequisiti/ESU per 2012 R2. |
Timeline dell’incidente e della correzione
- Marzo 2024 — Aggiornamenti mensili introducono un regression bug che in determinati contesti fa crescere la memoria di
LSASS.exe
sui DC. - 25 marzo 2024 — Microsoft rilascia OOB specifici per Windows Server 2012 R2/2016/2019/2022 (KB 5037426/23/25/22).
- 9 aprile 2024 — Patch Tuesday: i cumulativi di aprile non includono la fix.
- Maggio 2024 — Pacchetti compatibili/OOB aggiornati e poi, soprattutto, cumulativi successivi che integrano la correzione.
- 11 giugno 2024 — Patch Tuesday: la fix LSASS è inclusa nei cumulativi e diventa parte del canale standard.
Raccomandazioni finali
- Non rimanere su aprile 2024: migrare a un cumulativo di giugno 2024 o successivo su tutti i DC.
- Dove necessario, usare gli OOB del 25/03/2024 per mitigare subito, pianificando poi il passaggio al canale regolare.
- Integrare controlli automatici su patch e memoria LSASS nei runbook e negli strumenti di monitoring.
- Mantenere una finestra di osservazione post‑patch di almeno 24–48 ore con soglie su Private Bytes/Working Set.
Checklist pronta all’uso
- Identifica i DC e la loro versione di Windows Server.
- Controlla con
Get-HotFix
la presenza diKB503742x
o di un cumulativo giugno 2024+. - Applica l’OOB o il cumulativo idoneo; riavvia.
- Monitora
LSASS.exe
(Private Bytes, Working Set, Handle Count). - Valida Kerberos/LDAP, replicazione, accesso a risorse.
- Documenta e automatizza i controlli per cicli patch futuri.
Conclusioni
Il memory‑leak di LSASS.exe
emerso a marzo/aprile 2024 ha messo in luce quanto sia importante gestire i Domain Controller con un processo di patching disciplinato e dotato di monitoraggio continuo. La fix fuori‑banda del 25 marzo 2024 ha risolto l’emergenza nell’immediato; a regime, i cumulativi di giugno 2024 (e successivi) incorporano la correzione e offrono la via più semplice e pulita per normalizzare l’ambiente. Se oggi incontri ancora i sintomi descritti (crescita costante della memoria LSASS e riavvii del DC), la priorità è aggiornare i server allineandoli al canale cumulativo che contiene la fix e verificare con gli strumenti indicati che l’anomalia non si ripresenti.