MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Conexiones VPN fallan tras KB5040430: causa Blast‑RADIUS y cómo resolverlo

Conexiones VPN fallan tras KB5040430: causa Blast‑RADIUS y cómo resolverlo

Windows Server

Tras la actualización acumulativa KB5040430 (Julio 2024) muchos administradores han visto interrumpidas sus conexiones VPN basadas en NPS como proxy RADIUS con Microsoft Entra ID / Azure MFA. En este artículo encontrarás una guía exhaustiva para diagnosticar el problema, comprender la relación con la vulnerabilidad Blast‑RADIUS (CVE‑2024‑3596), y aplicar mitigaciones sin comprometer la seguridad.

Índice

Escenario típico de la incidencia

El diseño más habitual combina:

  • Uno o varios servidores NPS (Windows Server 2019/2022) configurados como RADIUS proxy para derivar peticiones de autenticación a Entra ID.
  • Un concentrador VPN (p. ej. Check Point, Sophos, FortiGate o Cisco ASA) que envía Access‑Request al NPS.
  • Autenticación de usuario basada en MFA en la nube.

Todo funcionaba hasta que el servidor NPS recibió KB5040430. Inmediatamente, los registros de NPS muestran eventos 6273 – Denied; en el extremo del cliente, el túnel VPN ni siquiera llega a presentar el segundo factor.

Síntomas observables

  • El servicio VPN deja de autenticar nuevos usuarios; las sesiones ya establecidas siguen activas hasta expirar.
  • En Event Viewer → Custom Views → Server Roles → Network Policy and Access Services se repiten entradas 6273 con motivo “Authentication failed”.
  • En el visor de registros de la VPN aparece Access‑Reject proveniente del NPS, sin explicación adicional.
  • Al revertir el servidor NPS a un snapshot anterior o desinstalar KB5040430, la autenticación vuelve a funcionar de inmediato.

Análisis de la causa raíz

La actualización KB5040430 incorpora los parches de seguridad publicados el 9 jul 2024 para mitigar CVE‑2024‑3596, conocida como Blast‑RADIUS. Esta vulnerabilidad permite a un atacante forjar o manipular determinados campos de los paquetes Access‑Request e interferir en la negociación del atributo User‑Password.

Para cerrar el hueco, Microsoft endureció la validación del paquete en NPS:

  1. Se exige que los campos Authenticator y Message‑Authenticator se calculen siguiendo estrictamente RFC 2865/2869.
  2. Se verifica que los atributos Vendor‑Specific no estén malformados.
  3. Se rechazan paquetes con longitudes incorrectas o alineaciones fuera de especificación.

Muchos fabricantes de firewalls no firmaban correctamente el campo Message‑Authenticator (o lo dejaban en blanco por motivos de compatibilidad histórica). El endurecimiento de KB5040430 rompe la interoperabilidad y provoca Access‑Reject, aun cuando el usuario y la contraseña sean correctos.

Cómo confirmar que tu entorno está afectado

  1. En el NPS, habilita el registro detallado desde NPS → Logging → Log file properties → Log accounting requests and log authentication requests.
  2. Intenta establecer la VPN y detén la captura tras el fallo.
  3. Abre el archivo %systemroot%\System32\LogFiles\IN*.log y busca líneas que finalicen en ,2 (Access‑Reject).
  4. Si comparas un Access‑Request fallido con uno exitoso (antes de instalar KB5040430), verás que el campo Message‑Authenticator está ausente o no coincide.
  5. Otra pista es la aparición del código de razón 22 – Authentication failed due to a user credentials mismatch. justo después de aplicar la actualización.

Soluciones y alternativas

EnfoqueDescripciónRiesgos / Observaciones
Desinstalar KB5040430Quitar la actualización en Configuración → Windows Update → Historial → Desinstalar actualizaciones o vía wusa /uninstall /kb:5040430. El servicio VPN se restaura inmediatamente.Reabre todas las vulnerabilidades resueltas por KB5040430 y versiones previas. Debe considerarse temporal y bajo estricta supervisión.
Aplicar workaround del proveedor VPNMuchos fabricantes (Check Point SK183691, Sophos NUTM‑12391, etc.) sugieren activar el cálculo correcto de Message‑Authenticator o instalar un hotfix en el concentrador.Mantienes la protección de KB5040430 en NPS. El riesgo se desplaza al dispositivo perimetral.
Esperar hotfix de MicrosoftMicrosoft suele publicar correcciones acumulativas fuera de banda cuando detecta impacto generalizado. Monitoriza el artículo de base de KB5040430 y la página de CVE‑2024‑3596.No existen plazos confirmados. La ventana de indisponibilidad puede prolongarse.
Pruebas en laboratorio / InsiderInstala la preview build más reciente de Windows Server Insider en un entorno aislado y verifica si la autenticación RADIUS se restablece.Requiere capacidad de laboratorio y licencias de prueba. No soportado en producción.

Estrategia de mitigación escalonada

Para balancear continuidad operativa y seguridad, contempla el siguiente flujo:

  1. Prioriza la disponibilidad crítica: si tu VPN es la puerta de acceso principal al entorno corporativo, desinstalar KB5040430 puede ser inevitable. Antes de hacerlo, aplica controles compensatorios como listas de IP de origen permitidas, bloqueo geográfico o cabeceras HTTP tipo Application Gateway WAF si el túnel se publica a través de SSL VPN.
  2. Acelera la respuesta del fabricante: abre ticket urgente y solicita un ETA para el parche. Comparte trazas RADIUS y la descripción de Microsoft; eso ayuda a reproducir el fallo.
  3. Evalúa un plan B: si el vendor no provee parche en corto plazo, considera sustituir temporalmente el concentrador por otro que sí implemente correctamente el RFC, o reconfigurar el perímetro para delegar directamente en Entra ID con Azure VPN Gateway.
  4. Documenta el cambio y los riesgos: la auditoría interna deberá entender por qué se revirtió un parche de seguridad; anexa evidencias del impacto y firmas de aprobación.

Guía paso a paso para cada alternativa

Desinstalación rápida de KB5040430

rem Ejecutar en un PowerShell con privilegios elevados
wusa /uninstall /kb:5040430 /quiet /norestart
shutdown /r /t 60 /d p:4:1 /c "Rollback temporal por incidencia RADIUS"

Nota: utiliza /quiet solo fuera de horas punta y avisa a los usuarios de que el servidor se reiniciará.

Comprobación del campo Message‑Authenticator en la VPN

  1. Captura tráfico con tcpdump -i eth0 -w radius.pcap udp port 1812 (o el puerto que uses).
  2. Analiza el paquete en Wireshark: RADIUS → Attributes → Message‑Authenticator.
  3. Si el atributo no aparece, o Wireshark indica “Invalid signature”, estás ante el problema descrito.

Parche temporal en Check Point

  1. Aplica hotfixR81.20JHF_T131 o superior, disponible en el portal de soporte.
  2. Reinicia el servicio cpstop; cpstart para recargar librerías.
  3. Valida con un usuario de prueba y comprueba que el Message‑Authenticator se rellena correctamente.

Monitoreo de futuros parches de Microsoft

  1. Suscríbete a “Security Update Guide – KB5040430” utilizando RSS.
  2. Configura una alerta en Azure Monitor con un Azure Logic App que dispare un correo cada vez que cambie el artículo.
  3. Repite las pruebas de laboratorio en cuanto aparezca un “Preview Patch” o “Out‑of‑band Release”.

Buenas prácticas para futuros despliegues

La incidencia pone de manifiesto la importancia de un ciclo DevOps también para la infraestructura. Algunas recomendaciones:

  • Zona de preproducción idéntica al entorno final, donde aplicar actualizaciones mensuales 48‑72 h antes que en producción.
  • Pruebas automatizadas de extremo a extremo: conecta un cliente VPN desatendido que autentique cada 15 min y genere alertas si falla.
  • Panel de compatibilidad: mantén un inventario de todos los dispositivos que consumen o generan paquetes RADIUS y su nivel de adherencia a RFC 2865/2869.
  • Control de cambios documentado con etiqueta “Security Patches” y plantillas para evaluar impacto, reversión y plazos de corrección.

Preguntas frecuentes (FAQ)

¿Afecta también a servidores NPS usados como RADIUS server puro (no proxy)? Sí, siempre que el cliente RADIUS no firme correctamente el atributo Message‑Authenticator.“` ¿Qué versiones de Windows Server están afectadas? Windows Server 2016, 2019 y 2022 con KB5040430 o los paquetes previos de julio 2024. Las ediciones LTSC 2012 R2 sin soporte no reciben el parche. ¿Existe una clave de registro para relajar la verificación? Al publicar este artículo, Microsoft no ha otorgado un registry toggle como en casos anteriores (p. ej., LDAP channel binding). ¿Puedo filtrar el tráfico RADIUS detrás de un proxy inverso? No, los concentradores VPN requieren conexión directa con el puerto 1812 UDP. Un proxy L7 no puede manejar los atributos cifrados. ¿Desinstalar sólo el parche de julio es suficiente? Sí, siempre que tampoco hayas instalado manualmente la Preview Cumulative Update de agosto 2024 o posterior. “`

Conclusión

La llegada de KB5040430 soluciona un vector de ataque crítico, pero expone las carencias de algunos equipos perimetrales a la hora de cumplir RFC 2865. Mientras Microsoft y los fabricantes liberan parches definitivos, el plan pragmático pasa por:

  • Restaurar operatividad (si es imprescindible) mediante la desinstalación controlada del parche.
  • Trabajar con el vendor para habilitar el cálculo estándar de Message‑Authenticator.
  • Reintroducir cuanto antes la actualización o su sucesora en un entorno ya corregido.

Seguir una estrategia de laboratorio, supervisión activa y documentación rigurosa permitirá mantener el equilibrio entre continuidad del negocio y protección frente a Blast‑RADIUS.

Windows Server
VPN Troubleshooting Windows Server KB5040430 Blast‑RADIUS CVE‑2024‑3596 RADIUS NPS
Índice