KB5066014 — Renforcement RPC Netlogon (CVE-2025-49716)

Dans cet article :

• Résumé

• Procédure à suivre

• Calendrier des mises à jour Windows

• Instructions de déploiement

• Nouveaux événements ajoutés

• Forum aux questions (FAQ)

Résumé

CVE-2025-49716 résout une vulnérabilité de déni de service dans laquelle les utilisateurs distants non authentifiés peuvent effectuer une série d’appels de procédure distante (RPC) basés sur Netlogon qui consomment toute la mémoire sur un contrôleur de domaine (DC). Pour atténuer cette vulnérabilité, une modification du code a été apportée dans la mise à jour Sécurité Windows de mai 2025 pour Windows Server 2025, et la Sécurité Windows Mises à jour de juillet 2025 pour toutes les autres plateformes de serveur de Windows Server 2008SP2 à Windows Server 2022 inclus.  Cette mise à jour inclut une modification du renforcement de la sécurité du protocole Microsoft RPC Netlogon. Cette modification améliore la sécurité en renforçant les vérifications d’accès pour un ensemble de demandes d’appel de procédure distante (RPC). Une fois cette mise à jour installée, les contrôleurs de domaine Active Directory n’autorisent plus les clients anonymes à appeler certaines demandes RPC via le serveur RPC Netlogon. Ces requêtes sont généralement liées à l’emplacement du contrôleur de domaine.

Après cette modification, certains fichiers & logiciels du service d’impression peuvent être affectés, y compris Samba. Samba a publié une mise à jour pour prendre en charge ce changement. Pour plus d’informations, consultez Samba 4.22.3 - Notes de publication .

Pour prendre en charge les scénarios dans lesquels les logiciels tiers concernés ne peuvent pas être mis à jour, nous avons publié une fonctionnalité de configuration supplémentaire dans la mise à jour Sécurité Windows d’août 2025. Cette modification implémente un bouton bascule basé sur une clé de Registre entre le mode d’application par défaut, un mode Audit qui journalise les modifications mais ne bloque pas les appels RPC Netlogon non authentifiés et un mode Désactivé (non recommandé).

Procédure à suivre

Pour protéger votre environnement et éviter les pannes, commencez par mettre à jour tous les appareils qui hébergent le rôle de contrôleur de domaine Active Directory ou serveur LDS en installant les dernières mises à jour Windows. Les contrôleurs de domaine qui ont les Sécurité Windows Mises à jour du 8 juillet 2025 ou ultérieur (ou les contrôleurs de domaine Windows Server 2025 avec mises à jour de mai) sont sécurisés par défaut et n’acceptent pas les appels RPC basés sur Netlogon non authentifiés par défaut. Les contrôleurs de domaine qui ont le 12 août 2025 ou version ultérieure Sécurité Windows Mises à jour n’acceptent pas les appels RPC basés sur Netlogon non authentifiés par défaut, mais peuvent être configurés pour le faire temporairement.

1. Surveillez votre environnement pour les problèmes d’accès. Si cela se produit, vérifiez si les modifications de renforcement RPC Netlogon en sont la cause racine.

   1. Si seules les mises à jour de juillet sont installées, activez la journalisation Netlogon détaillée à l’aide de la commande «Nltest.exe /dbflag :0x2080ffff », puis surveillez les journaux résultants pour les entrées semblables à la ligne suivante. Les champs OpNum et Method peuvent varier et représentent l’opération et la méthode RPC qui a été bloquée :

      23/06 10:50:39 [CRITIQUE] [5812] NlRpcSecurityCallback : rejet d’un appel RPC non autorisé de [IPAddr] OpNum :34 Method :DsrGetDcNameEx2

   2. Si des mises à jour Windows d’août ou ultérieures sont installées, recherchez Security-Netlogon'événement 9015 sur vos contrôleurs de domaine pour déterminer les appels RPC qui sont rejetés. Si ces appels sont critiques, vous pouvez placer le contrôleur de domaine en mode Audit ou Désactivé temporairement pendant la résolution des problèmes.

   3. Apportez des modifications de sorte que l’application utilise des appels RPC Netlogon authentifiés ou contactez votre fournisseur de logiciels pour plus d’informations.

2. Si vous placez les contrôleurs de domaine en mode Audit, surveillez Security-Netlogon'événement 9016 pour déterminer quels appels RPC seraient rejetés si vous activez le mode d’application. Apportez ensuite des modifications de sorte que l’application utilise des appels RPC Netlogon authentifiés ou contactez votre fournisseur de logiciels pour plus d’informations.

Calendrier des mises à jour Windows

Ces mises à jour Windows ont été publiées en plusieurs phases :

1. Modification initiale sur Windows Server 2025 (13 mai 2025) : la mise à jour d’origine renforcée contre les appels RPC basés sur Netlogon non authentifiés a été incluse dans la mise à jour Sécurité Windows de mai 2025 pour Windows Server 2025.

2. Modifications initiales sur d’autres plateformes de serveur (8 juillet 2025) : les mises à jour renforcées contre les appels RPC basés sur Netlogon non authentifiés pour d’autres plateformes de serveur ont été incluses dans la Sécurité Windows Mises à jour de juillet 2025.

3. Ajout du mode Audit et du mode désactivé (12 août 2025) : la mise en œuvre par défaut avec une option pour les modes Audit ou Désactivé a été incluse dans la Sécurité Windows Mises à jour d’août 2025.

4. Suppression du mode Audit et du mode désactivé (TBD) : à une date ultérieure, les modes Audit et Désactivé peuvent être supprimés du système d’exploitation. Cet article sera mis à jour lorsque d’autres détails seront confirmés.

Instructions de déploiement

Si vous déployez le Sécurité Windows Mises à jour août et que vous souhaitez configurer vos contrôleurs de domaine en mode Audit ou Désactivé, déployez la clé de Registre ci-dessous avec la valeur appropriée. Aucun redémarrage n’est nécessaire.

Nouveaux événements ajoutés

La Sécurité Windows Mises à jour du 12 août 2025 ajoutera également de nouveaux journaux d’événements sur Windows Server 2012 par le Windows Server contrôleurs de domaine 2022 :

Foire aux questions (FAQ)