Windows October Patchday: Microsoft ломает смарт-карты ради “безопасности”

Октябрьские апдейты от Microsoft снова “починили то, что не было сломано”. После установки патчей на Windows 10, 11 и Server многие юзеры словили тотальный крэш смарт-карт и сертификатной аутентификации.

Причина — свежий “улучшайзер криптографии”, который заставляет систему юзать KSP вместо CSP. Звучит красиво, но на деле сломало полмира.

Что произошло

Microsoft решила “укрепить Windows Cryptographic Services” — встроенный сервис, который крутит все операции, связанные с цифровыми подписями, шифрованием и авторизацией.

Апдейт включил новый механизм защиты CVE-2024-30098, который изолирует криптографию от смарт-карт, чтобы злоумышленники не смогли подделать SHA1-подписи через коллизию хэша. Хорошая идея. До тех пор, пока твой смарт-кард не перестал работать, а документы — подписываться.

Симптомы

Если ты после апдейта внезапно перестал входить в домен, подписывать PDF или просто система орёт “invalid provider type specified” — добро пожаловать в клуб.

Классика жанра:

• Приложения, которые юзают сертификаты, не стартуют.

• Смарт-карты не определяются как CSP provider.

• В логах Smart Card Service мелькает Event ID 624.

• Криптооперации отваливаются с ошибкой CryptAcquireCertificatePrivateKey error.

Что Microsoft говорит

Редмонды честно признали, что это “известная проблема”.
Цитата из их оффа:
“Мы автоматически активировали фикс для CVE-2024-30098. Это может вызвать проблемы со старыми CSP-смарткартами.”

Перевод: “Мы включили новую фичу, не тестируя на живых клиентах. Если у вас всё упало — вы не целевая аудитория.”

Как откатить “улучшение”

Если у тебя бизнес завязан на смарт-картах — Microsoft предлагает костыль через реестр.

Шаги от самих Редмондов:

Открой regedit (Win + R → regedit → Enter).

Перейди в:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais

Найди ключ DisableCapiOverrideForRSA.

Поменяй значение с 1 на 0.

Закрой редактор, перезагрузи машину.

После этого всё должно снова заработать. Но Microsoft уже предупредила — в апреле 2026 года этот ключ уберут, и придётся переходить на нормальный KSP.

Так что, если ты используешь старые карты или кастомные крипто-провайдеры, самое время начать трезво смотреть на апгрейд.

Почему всё так

Microsoft уже не первый раз наступает на этот смарт-кардовый грабель. В прошлом году апдейт для Windows 10 внезапно отрубил smartcard-логин при подключении через RDP. Теперь то же самое, только с CryptSvc.

Похоже, в Редмонде кто-то решил поиграть в “Security Hardening: Russian Roulette Edition”.

Что ещё они сломали этим патчем

В тот же день Microsoft признала, что обновления ломают IIS и HTTP/2 localhost (даже 127.0.0.1 не пережил апдейт) и убирают compatibility hold для Windows 11 24H2 — всем на апдейт, кроме тех, у кого всё уже лежит.

Другими словами, классический Patch Tuesday — апдейт поставил, проблемы получил.

Заключение

С одной стороны, Microsoft реально закрыла дыру — SHA1-коллизии и подделка подписей больше не прокатят.
С другой — полмира теперь сидит без смарт-карт, чиня реестр вручную.

Как говорят на форумах:
“Security update: +1 к защите, -100 к юзабилити.”

Так что если твоя аутентификация вдруг упала после октябрьских патчей — не паникуй. Это не вирус. Это просто очередной Tuesday от Microsoft.