Първоначална дата на публикуване: 13 август 2025 г.
ИД на КБ: 5066014
В тази статия:
Резюме
CVE-2025-49716 обръща внимание на уязвимост за отказ на услугата, при която отдалечени неудостоверени потребители могат да направят серия от заявки за отдалечена процедура, базирани на Netlogon (RPC), които в крайна сметка консумират цялата памет на домейнов контролер (DC). За да се смекчи тази уязвимост, е направена промяна в кода в актуализацията на Защита в Windows от май 2025 г. за Windows Server 2025 г. и Защита в Windows Актуализации от юли 2025 г. за всички други платформи на сървъра от Windows Server 2008SP2 до Windows Server 2022 включително. Тази актуализация включва промяна на втвърдяване на защитата на протокола Microsoft RPC Netlogon. Тази промяна подобрява защитата чрез засилване на проверките за достъп за набор от заявки за извикване на отдалечена процедура (RPC). След инсталирането на тази актуализация домейнови контролери на Active Directory вече няма да позволяват на анонимни клиенти да извикват някои RPC заявки чрез Netlogon RPC сървъра. Тези искания обикновено са свързани с местоположението на домейновия контролер.
След тази промяна някои файлови & софтуер за услуги за печат могат да бъдат засегнати, включително Samba. Samba пусна актуализация, за да приеме тази промяна. Вижте Samba 4.22.3 – Бележки по изданието за повече информация.
За да се обхванат сценарии, при които засегнатият софтуер на трети лица не може да бъде актуализиран, издановихме допълнителна възможност за конфигуриране в актуализацията на Защита в Windows август 2025 г. Тази промяна въвежда превключвател, базиран на ключ от системния регистър, между режима на изпълнение по подразбиране – режим на проверка, който ще регистрира промените, но няма да блокира неудостоверените повиквания на Netlogon RPC и дезактивирания режим (не се препоръчва.)
Предприемане на действие
За да защитите вашата среда и да избегнете прекъсвания, първо актуализирайте всички устройства, които хостват домейновия контролер на Active Directory или ролята на LDS сървър, като инсталирате най-новите актуализации на Windows. Компютрите, които имат DCs от 8 юли 2025 г. или по-нова Защита в Windows Актуализации (или Windows Server 2025 г. с актуализации от май) са защитени по подразбиране и не приемат по подразбиране неудостоверени RPC повиквания, базирани на Netlogon. Компютрите, които имат RPC от 12 август 2025 г. или по-нова Защита в Windows Актуализации, не приемат неудостоверени базирани на Netlogon RPC повиквания по подразбиране, но могат да бъдат конфигурирани да го правят временно.
-
Следете своята среда за проблеми с достъпа. Ако възникне, потвърдете дали промените в втвърдяването на Netlogon RPC са основната причина.
-
Ако са инсталирани само актуализации от юли, разрешете многословното регистриране на Netlogon с помощта на командата "Nltest.exe /dbflag:0x2080ffff" и след това наблюдавайте получените регистрационни файлове за записи, наподобяващи следния ред. Полетата OpNum и Method може да се различават и да представят операцията и RPC метода, който е бил блокиран:
06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: отхвърляне на неупълномощено RPC повикване от [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
Ако са инсталирани актуализации на Windows от август или по-нова версия, потърсете Security-Netlogon Събитие 9015 на вашите компютри, за да определите какви RPC повиквания се отхвърлят. Ако тези повиквания са критични, можете временно да поставите DC в режим на проверка или дезактивиран режим, докато отстранявате неизправностите.
-
Направете промени, така че приложението да използва удостоверени Netlogon RPC повиквания или да се свържете с доставчика на софтуера за повече информация.
-
-
Ако поставите DCs в режим на проверка, наблюдавайте за Security-Netlogon събитие 9016, за да определите какви RPC повиквания ще бъдат отхвърлени, ако включите режима на изпълнение. След това направете промени, така че приложението да използва удостоверени Netlogon RPC повиквания или да се свържете с доставчика на софтуера за повече информация.
Забележка: На сървърите на Windows 2008 SP2 и Windows 2008 R2 тези събития ще се виждат в системните регистри на събитията като Събития netlogon съответно 5844 и 5845 за режим на изпълнение и режим на проверка.
Време на актуализациите на Windows
Тези актуализации на Windows бяха издадени в няколко фази:
-
Първоначална промяна на Windows Server 2025 (13 май 2025 г.) – Първоначалната актуализация, която се втвърдява срещу неудостоверени заявки за RPC, базирани на Netlogon, беше включена в актуализацията на Защита в Windows май 2025 г. за Windows Server 2025 г.
-
Първоначални промени на други сървърни платформи (8 юли 2025 г.) – актуализациите, които се втвърдяват срещу неудостоверени базирани на Netlogon RPC повиквания за други платформи на сървъра, бяха включени в Защита в Windows Актуализации юли 2025 г.
-
Добавяне на режим на проверка и дезактивиран режим (12 август 2025 г.) – Изпълнението по подразбиране с опция за режими "Проверка" или "Дезактивиран" беше включено в Защита в Windows Актуализации август 2025 г.
-
Премахване на режима на проверка и дезактивиран режим (TBD) – на по-късна дата режимите за проверка и дезактивиране могат да бъдат премахнати от операционната система. Тази статия ще бъде актуализирана, когато бъдат потвърдени допълнителни подробности.
Указания за разполагане
Ако разположите Защита в Windows Актуализации август и искате да конфигурирате вашите DCs в режим на проверка или дезактивиране, разположете ключа на системния регистър по-долу със съответната стойност. Не се изисква рестартиране.
|
Път |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Стойност в системния регистър |
DCLocatorRPCSecurityPolicy |
|
Тип стойност |
REG_DWORD |
|
Данни за стойност |
0 – Дезактивиран режим1 – Режим на проверка2 – Режим на изпълнение (по подразбиране) |
Забележка: Неудостоверените искания ще бъдат разрешени както в режим на проверка, така и в дезактивиран режим.
Новодобавени събития
Защита в Windows Актуализации от 12 август 2025 г. също ще добави нови регистри на събитията в Windows Server 2012 до Windows Server 2022 домейнови контролери:
|
Регистър на събитията |
Microsoft-Windows-Security-Netlogon/Operational |
|
Тип събитие |
Информация |
|
ИД на събитие |
9015 |
|
Текст на събитие |
Netlogon отказа RPC повикване. Правилата са в режим на налагане. Информация за клиента: Име на метода: %method% Opnum на метода: %opnum% Адрес на клиента:>< IP адрес Самоличност на клиента: <SID> на повикващия За повече информация вж. https://aka.ms/dclocatorrpcpolicy. |
|
Регистър на събитията |
Microsoft-Windows-Security-Netlogon/Operational |
|
Тип събитие |
Информация |
|
ИД на събитие |
9016 |
|
Текст на събитие |
Netlogon разреши RPC повикване, което обикновено би било отказано. Правилата са в режим на проверка. Информация за клиента: Име на метода: %method% Opnum на метода: %opnum% Адрес на клиента:>< IP адрес Самоличност на клиента: <SID> на повикващия За повече информация вж. https://aka.ms/dclocatorrpcpolicy. |
Забележка: На сървърите на Windows 2008 SP2 и Windows 2008 R2 тези събития ще се виждат в системните регистри на събитията като събития netlogon съответно 5844 и 5845 за режимите на изпълнение и проверка.
Често задавани въпроси (ЧЗВ)
Компютрите, които не са актуализирани с Защита в Windows Актуализации от 8 юли 2025 г. или по-нова версия, все още ще позволяват неудостоверени RPC повиквания, базирани на Netlogon, & няма да регистрират събития, свързани с тази уязвимост.
Компютрите, които се актуализират с Защита в Windows Актуализации от 8 юли 2025 г., няма да позволяват неудостоверени RPC повиквания, базирани на Netlogon, но няма да регистрират събитие, когато такова повикване е блокирано.
По подразбиране компютрите, които се актуализират с Защита в Windows Актуализации от 12 август 2025 г. или по-нова версия, няма да позволяват неудостоверени RPC повиквания, базирани на Netlogon, и ще регистрират събитие, когато такова повикване е блокирано.
Не.
