Patch LSASS: entenda a correção OOB e as atualizações de abril e maio 2024

Desde março de 2024 muitos administradores de Active Directory viram seus controladores de domínio (DCs) sofrer reinicializações inesperadas ou consumo de memória fora de controle. O culpado era um vazamento de memória no processo Local Security Authority Subsystem Service (LSASS.exe). Este artigo explica em profundidade como o problema surgiu, por que a correção “out‑of‑band” (OOB) publicada em 25 mar 2024 não foi incluída no Patch Tuesday de 9 abr 2024, e quais passos práticos você deve seguir para proteger seu ambiente até as compilações mais recentes de setembro de 2025.

Entendendo o vazamento de memória no LSASS

LSASS é responsável por autenticação, emissão de tickets Kerberos e tratamento de políticas de segurança. Em março de 2024, após a instalação dos patches de fevereiro, diversos DCs passaram a apresentar crescimento linear de Private Bytes, chegando a esgotar a memória física em poucas horas em ambientes com grande volume de logon. Logs de Event ID 1000 (“Faulting application name: lsass.exe”) e “Application Pool terminated unexpectedly” apontavam para falhas de alocação em rotinas de manipulação de SAML.

Sintomas observados

• Gráfico de Process → Private Bytes em Performance Monitor subindo sem queda.
• Falhas de logon com erros 0xc000006d e 0xc000019B.
• Reinicialização de DC causada por bugcheck 0x000000F4 ou 0x000000C9 quando a memória virtual era esgotada.
• Alta latência em autenticação NTLM ou Kerberos (> 3 s).

Linha do tempo dos patches

Ponto-chave	Detalhes práticos
Correção OOB inicial	Publicada em 25 mar 2024 para cada versão do Windows Server: • 2022 → KB5037422 • 2019 → KB5037425 • 2016 → KB5037423 • 2012 R2 → KB5037426
Atualizações de 9 abr 2024	Os pacotes cumulativos de Patch Tuesday (KB5036894 e equivalentes) não incluíram o fix do LSASS.
Conflito de instalação	Ambientes que já tinham aplicado os patches de abril não conseguiram instalar os KBs OOB – o instalador exibia “esta atualização não se aplica ao seu computador”.
Novo patch acumulado	Equipe de suporte anunciou “versão v2” para a segunda semana de maio. Em 14 mai 2024 o Patch Tuesday (KB5037765/KB5037763) finalmente incorporou o hot‑fix.
Situação atual (set 2025)	Todas as compilações posteriores a maio 2024 contêm a correção; incidentes recentes de “LSASS alta CPU” costumam estar ligados a auditoria avançada ou drivers de antivírus.

Por que o OOB não entrou em abril?

Historicamente a Microsoft encadeia correções OOB no pacote cumulativo seguinte, mas neste caso havia riscos de regressão em clusters híbridos (DCs 2012 R2 + 2019 + 2022) ainda não testados. A integração foi adiada para permitir fast‑ring validation em Azure AD Domain Services e ambientes internos do programa MEC (Microsoft Enterprise Customer).

Como identificar se seu DC está afetado

1. Abra Administrador do Servidor → Ferramentas → Monitor de Desempenho.
2. Adicione o contador Process → Private Bytes → lsass.exe.
3. Observe a inclinação. Crescimento superior a 50 MB/hora em cargas médias é indicativo do bug.
4. Verifique a presença dos KBs em wmic qfe list brief ou:
   Get-HotFix -Id KB5037422,KB5037425,KB5037423,KB5037426

Exemplo de script para inventário rápido

Invoke-Command -ComputerName (Get-ADDomainController -Filter *).HostName `
  -ScriptBlock {
      $hotfix = Get-HotFix | Where-Object HotFixID -match '503742[2-6]'
      if (!$hotfix) { 
          Write-Output "$env:COMPUTERNAME sem correção LSASS"
      } else {
          Write-Output "$env:COMPUTERNAME protegido por $($hotfix.HotFixID)"
      }
}

Estratégias de mitigação provisória

Caso não seja possível aplicar o OOB imediatamente (por exemplo, conflito de WSUS ou janela de manutenção restrita), considere:

• Reinicialização agendada do serviço LSASS – não é suportado pela Microsoft reiniciar LSASS isoladamente, portanto reinicie o DC fora do horário de pico.
• Balanceamento de carga – direcione autenticações para DCs já corrigidos usando site costing no AD Sites & Services.
• Redução de auditoria – desative temporariamente auditoria de sucesso em Account Logon se compliance permitir.

Procedimento recomendado de atualização

Para servidores ainda sem os patches de abril

1. Aplicar primeiro o KB OOB correspondente à versão do Windows Server.
2. Reiniciar o DC.
3. Em seguida, instalar normalmente o Patch Tuesday de abril.

Para servidores já atualizados em abril

1. Tentar instalar o KB OOB resultará em mensagem de não aplicável; ignore.
2. Aguardar o Patch Tuesday de 14 mai 2024 ou posterior (que contém o fix).
3. Após atualizar, confirmar build:
   [System.Environment]::OSVersion.Version Deve ser ≥ 20348.2368 (Windows Server 2022) ou equivalente.

Verificação pós‑patch

• Monitorar Private Bytes por pelo menos 48 h.
• Executar dcdiag /v /c /e /f:c:\dcdiag.txt e revisar seções Advertising e FrsCheck.
• Checar logs de Event ID 39 (Kerberos) – tendência de queda após o fix.

Boas práticas de laboratório e validação

Controladores de domínio são o coração da segurança corporativa. Estas práticas reduzem o risco de impacto em produção:

“Teste como você opera.” Clonar um DC de produção para laboratório garante que políticas de grupo, drivers de antivírus e filtros de autenticação (por exemplo, Azure MFA NPS Extension) sejam exercitados de forma idêntica.

• Manter Snapshot VM de prova antes de cada ciclo de Patch.
• Permanecer no canal C (Current) de antivírus ao menos até validar com patches; versões beta de engine podem mascarar regressões.
• Usar Windows Performance Recorder (WPR) para traçar LSASS durante 5 min em laboratório; comparar alocações antes/depois.
• Documentar dependências: agentes de backup, extensões de ADFS, DLLs de terceiros carregadas em LSASS (tasklist /m /fi "imagename eq lsass.exe").

Perguntas frequentes (FAQ)

O vazamento afeta controladores de domínio somente em inglês? Não. O problema é independente de localidade ou idioma. Apagar logs de eventos reduz o consumo de memória? Não, pois o vazamento está em buffers de autenticação, não em arquivos de log. Desabilitar o serviço AES Key Discovery ajuda? Não recomendado; pode quebrar Kerberos armoring. Preciso atualizar controladores de domínio legados 2008 R2? Windows Server 2008 R2 já está fora de suporte estendido; não recebeu patches. Migração é a única saída.

Conclusão

A falha de vazamento de memória no LSASS demonstrou, mais uma vez, a importância de pipelines de teste robustos e inventário de patches confiável. O hot‑fix OOB de 25 mar 2024 foi essencial para conter o problema durante duas semanas críticas, mas somente a partir do Patch Tuesday de 14 mai 2024 o ambiente corporativo pôde respirar aliviado sem procedimentos manuais. Se você ainda mantém DCs sem o KB adequado, priorize a atualização ou planeje migrações. Aproveite para revisar processos de validação em laboratório, garantindo que incidentes semelhantes no futuro sejam identificados antes de chegarem ao ambiente de produção.