KB5066014: Protección Rpc Netlogon (CVE-2025-49716)

En este artículo:

• Resumen

• Tomar medidas

• Calendario de las actualizaciones de Windows

• Instrucciones de implementación

• Eventos añadidos recientemente

• Preguntas más frecuentes (P+F)

Resumen

CVE-2025-49716 corrige una vulnerabilidad de denegación de servicio en la que los usuarios remotos no autenticados podían realizar una serie de llamadas a procedimiento remoto (RPC) basadas en Netlogon que finalmente consumían toda la memoria de un controlador de dominio (DC). Para mitigar esta vulnerabilidad, se realizó un cambio de código en la actualización de Seguridad de Windows de mayo de 2025 de Windows Server 2025 y en la Seguridad de Windows Novedades de julio de 2025 para todas las demás plataformas de servidor de Windows Server 2008SP2 a Windows Server 2022, ambos inclusive.  Esta actualización incluye un cambio de protección de seguridad en el protocolo Microsoft RPC Netlogon. Este cambio mejora la seguridad al apretar las comprobaciones de acceso para un conjunto de solicitudes de llamada a procedimiento remoto (RPC). Después de instalar esta actualización, los controladores de dominio de Active Directory ya no permitirán a los clientes anónimos invocar algunas solicitudes RPC a través del servidor RPC de Netlogon. Estas solicitudes suelen estar relacionadas con la ubicación del controlador de dominio.

Después de este cambio, algunos archivos & software de servicio de impresión pueden verse afectados, incluyendo Samba. Samba ha publicado una actualización para dar cabida a este cambio. Vea Samba 4.22.3 - Notas de la versión para obtener más información.

Para dar cabida a escenarios en los que no se puede actualizar el software de terceros afectado, publicamos capacidad de configuración adicional en la actualización de Seguridad de Windows de agosto de 2025. Este cambio implementa un botón de alternancia basado en claves del Registro entre el modo de obligatoriedad predeterminado, un modo auditoría que registrará cambios pero no bloqueará las llamadas RPC de Netlogon no autenticadas y un modo deshabilitado (no recomendado).

Tomar medidas

Para proteger su entorno y evitar interrupciones, primero actualice todos los dispositivos que hospedan el controlador de dominio de Active Directory o el rol de Servidor LDS instalando las últimas actualizaciones de Windows. Los DCs que tienen el 8 de julio de 2025 o posterior Seguridad de Windows Novedades (o Windows Server 2025 DCs con actualizaciones de mayo) son seguros de forma predeterminada y no aceptan llamadas RPC basadas en Netlogon no autenticadas de forma predeterminada. Los equipos que tienen el 12 de agosto de 2025 o posterior Seguridad de Windows Novedades no aceptan llamadas RPC basadas en Netlogon no autenticadas de forma predeterminada, pero se pueden configurar para hacerlo temporalmente.

1. Supervise el entorno para detectar problemas de acceso. Si se encuentra, confirme si los cambios de protección RPC de Netlogon son la causa raíz.

   1. Si solo se instalan las actualizaciones de julio, habilite el registro detallado de Netlogon mediante el comando "Nltest.exe /dbflag:0x2080ffff" y, a continuación, supervise los registros resultantes para ver las entradas que se asemejan a la siguiente línea. Los campos OpNum y Method pueden variar y representar la operación y el método RPC que se bloqueó:

      06/23 10:50:39 [CRÍTICO] [5812] NlRpcSecurityCallback: rechazar una llamada RPC no autorizada de [IPAddr] OpNum:34 Method:DsrGetDcNameEx2

   2. Si se instalan las actualizaciones de Windows de agosto o versiones posteriores, busque Security-Netlogon Evento 9015 en sus equipos PARA determinar qué llamadas RPC se rechazarán. Si estas llamadas son críticas, puede poner el controlador de dominio en modo auditoría o modo deshabilitado temporalmente mientras soluciona los problemas.

   3. Realice cambios de modo que la aplicación esté usando llamadas RPC de Netlogon autenticadas o póngase en contacto con el proveedor de software para obtener más información.

2. Si coloca los controladores de dominio en modo auditoría, supervise Security-Netlogon evento 9016 para determinar qué llamadas RPC se rechazarían si activó el modo de obligatoriedad. A continuación, realice cambios para que la aplicación use llamadas RPC de Netlogon autenticadas o póngase en contacto con el proveedor de software para obtener más información.

Calendario de las actualizaciones de Windows

Estas actualizaciones de Windows se publicaron en varias fases:

1. Cambio inicial en Windows Server 2025 (13 de mayo de 2025): la actualización original que se endureció contra las llamadas RPC basadas en Netlogon no autenticadas se incluyó en la actualización de Seguridad de Windows de mayo de 2025 para Windows Server 2025.

2. Cambios iniciales en otras plataformas de servidores (8 de julio de 2025): las actualizaciones que se endurecieron contra las llamadas RPC basadas en Netlogon no autenticadas para otras plataformas server se incluyeron en el Seguridad de Windows Novedades de julio de 2025.

3. Adición del modo auditoría y del modo deshabilitado (12 de agosto de 2025): la aplicación predeterminada con una opción para los modos auditoría o deshabilitado se incluyó en el Seguridad de Windows Novedades de agosto de 2025.

4. Eliminación del modo auditoría y del modo deshabilitado (TBD): en una fecha posterior, los modos auditoría y deshabilitado pueden quitarse del sistema operativo. Este artículo se actualizará cuando se confirmen más detalles.

Instrucciones de implementación

Si implementa la Seguridad de Windows Novedades de agosto y desea configurar los equipos DEG en el modo Auditoría o Deshabilitado, implemente la clave del Registro a continuación con el valor adecuado. No es necesario reiniciar.

Eventos añadidos recientemente

La Seguridad de Windows Novedades del 12 de agosto de 2025 también agregará nuevos registros de eventos en Windows Server 2012 a través de controladores de dominio de Windows Server 2022:

Preguntas más frecuentes (P+F)