Windows 10 用户和管理员在安装最新的 Windows 10 KB5009543 和 Windows 11 KB5009566 累积更新后,报告在建立 L2TP VPN 连接时出现问题。
昨天,微软发布了Windows更新,以修复安全漏洞和错误,作为2022年1月补丁星期二的一部分。
这些更新包括适用于 Windows 11 的KB5009566和适用于 Windows 10 2004、20H1 和 21H1 的KB5009543。
更新会中断 L2TP 连接
安装昨天的更新后,Windows 用户在尝试使用 Windows VPN 客户端进行连接时发现其 L2TP VPN 连接已断开。
尝试连接到 VPN 设备时,系统会显示一条错误消息,指出"无法连接到 VPN。L2TP 连接尝试失败,因为安全层在与远程计算机的初始协商期间遇到处理错误,"如下所示。
事件日志还将记录错误代码为 789 的条目,指出与 VPN 的连接失败。
该错误不会影响所有VPN设备,似乎只会影响使用内置Windows VPN客户端进行连接的用户。
Twitter上一位名叫Ronny的安全研究人员告诉BleepingComputer,该错误会影响使用Windows VPN客户端的用户的Ubiquiti客户端到站点VPN连接。
许多Windows管理员还在Reddit上报告说,该错误还影响了与SonicWall,Cisco Meraki和WatchGuard Firewalls的连接,后者的客户端也受到该错误的影响。
由于许多用户仍在远程工作,管理员被迫删除 KB5009566 和 KB5009543 更新,这将在重新启动时立即修复 L2TP VPN 连接。
Windows 用户可以从提升的命令提示符中删除 KB5009566 和 KB5009543 更新。
Windows 10: wusa /uninstall /kb:5009543 Windows 11: wusa /uninstall /kb:5009566
但是,由于 Microsoft 将所有安全更新捆绑在单个 Windows 累积更新中,因此删除该更新将删除在一月补丁星期二期间修补的漏洞的所有修补程序。
因此,Windows 管理员需要权衡未修补漏洞的风险与无法连接到 VPN 连接所导致的中断。
目前尚不清楚是什么导致了这个错误,但微软的一月补丁星期二修复了Windows Internet Key Exchange(IKE)协议(CVE-2022-21843,CVE-2022-21890,CVE-2022-21883,CVE-2022-21889,CVE-2022-21848)和Windows远程访问连接管理器(CVE-2022-21914和CVE-2022-21885)中的许多漏洞,这些漏洞可能导致这些问题。
微软确认错误,提供缓解措施
微软周四证实,"某些IPSEC连接可能会失败",他们将在即将发布的Windows版本中解决这个问题。
"安装KB5009543后,包含供应商 ID 的 IP 安全 (IPSEC) 连接可能会失败。使用第 2 层隧道协议 (L2TP) 或 IP 安全互联网密钥交换 (IPSEC IKE) 的 VPN 连接也可能受到影响。
微软表示,如果可能的话,可以通过在VPN服务器上禁用"供应商ID"来缓解该错误。
"要缓解某些VPN的问题,您可以在服务器端设置中禁用供应商ID。注意:并非所有VPN服务器都可以选择禁用供应商ID,"Microsoft在新的已知更新问题中解释道。
2022 年 1 月 13 日更新:添加了包含 Microsoft 提供更多信息的更新。 |