תאריך פרסום מקורי: ה-13 באוגוסט 2025
מזהה KB: 5066014
במאמר זה:
סיכום
CVE-2025-49716 מטפל בפגיעות מסוג מניעת שירות שבה משתמשים מרוחקים שאינם מאומתים יכולים לבצע סידרה של קריאות לפרוצדורות מרוחקות מבוססות-Netlogon (RPC) שבסופו של דבר צורכות את כל הזיכרון בבקר תחום (DC). כדי לצמצם פגיעות זו, בוצעו שינוי קוד בעדכון אבטחת Windows של מאי 2025 עבור Windows Server 2025, וב- אבטחת Windows עדכונים ביולי 2025 עבור כל פלטפורמות השרת האחרות מ- Windows Server 2008SP2 עד Windows Server 2022, כולל. עדכון זה כולל שינוי של הקשת אבטחה בפרוטוקול Microsoft RPC Netlogon. שינוי זה משפר את האבטחה על-ידי היד קשיחה של בדיקת גישה עבור קבוצה של בקשות קריאה לפרוצדורה מרוחקת (RPC). לאחר התקנת עדכון זה, בקרי תחום של Active Directory לא יאפשרו עוד ללקוחות אנונימיים להפעיל בקשות RPC מסוימות באמצעות שרת RPC של Netlogon. בקשות אלה קשורות בדרך כלל למיקום בקר התחום.
לאחר שינוי זה, קבצים מסוימים & תוכנות שירות הדפסה עשויים להיות מושפעים, כולל Samba. Samba פרסמה עדכון כדי להתאים לשינוי זה. ראה Samba 4.22.3 - הערות מוצר לקבלת מידע נוסף.
כדי להכיל תרחישים שבהם לא ניתן לעדכן תוכנה של ספקים חיצוניים המושפעת, פרסמנו יכולת תצורה נוספת בעדכון אבטחת Windows באוגוסט 2025. שינוי זה מיישם החלפת מצב מבוססת מפתח רישום בין מצב האכיפה המוגדר כברירת מחדל, מצב ביקורת אשר ירשום שינויים, אך לא יחסום קריאות RPC לא מאומתות של Netlogon ומצב לא זמין (לא מומלץ).
בצע פעולה
כדי להגן על הסביבה שלך ולהימנע מהתנתקות, עדכן תחילה את כל המכשירים שמארחים את תפקיד בקר התחום או שרת LDS של Active Directory על-ידי התקנת העדכונים האחרונים של Windows. מחשבים בעלי מחשבים בעלי 8 ביולי 2025 ואילך של אבטחת Windows עדכונים (או מחשבי WINDOWS SERVER 2025 עם עדכונים לחודש מאי) הם מאובטחים כברירת מחדל ואינם מקבלים קריאות RPC לא מאומתות המבוססות על Netlogon כברירת מחדל. מחשבים בעלי 12 באוגוסט 2025 ואילך אבטחת Windows עדכונים אינם מקבלים קריאות RPC לא מאומתות המבוססות על Netlogon כברירת מחדל, אך ניתן לקבוע את תצורתם כך באופן זמני.
-
נטר את הסביבה שלך כדי לאתר בעיות גישה. אם תיתקל בבעיות, ודא אם שינויי הקשת RPC של Netlogon הם הסיבה לכך.
-
אם מותקנים רק עדכונים של יולי, הפוך רישום Netlogon מילולי לזמין באמצעות הפקודה "Nltest.exe /dbflag:0x2080ffff" ולאחר מכן נטר את יומני הרישום המתבצעים לקבלת ערכים הדומים בשורה הבאה. השדות OpNum ו- Method עשויים להשתנות, ומייצגים את הפעולה ואת פעולת השירות RPC שנחסמה:
06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: דחיית שיחת RPC לא מורשית מ- [IPAddr] פעולת שירות OpNum:34:DsrGetDcNameEx2
-
אם מותקנים עדכוני Windows לאוגוסט או מאוחר יותר, חפש Security-Netlogon אירוע 9015 במחשבים שלך כדי לקבוע אילו שיחות RPC נדחות. אם שיחות אלה קריטיות, באפשרותך להעביר את ה- DC למצב ביקורת או למצב לא זמין באופן זמני בעת פתרון בעיות.
-
בצע שינויים כך שהיישום משתמש בקריאות RPC מאומתות של Netlogon או פנה לספק התוכנה לקבלת מידע נוסף.
-
-
אם אתה מציב מחשבים במצב ביקורת, נטר את Security-Netlogon אירוע 9016 כדי לקבוע אילו קריאות RPC יידחה אם הפעלת את מצב אכיפה. לאחר מכן בצע שינויים כך שהיישום משתמש בקריאות RPC מאומתות של Netlogon או פנה לספק התוכנה שלך לקבלת מידע נוסף.
הערה: בשרתי Windows 2008 SP2 ו- Windows 2008 R2, אירועים אלה יוצגו ביומני האירועים של המערכת בתור Netlogon Events 5844 ו- 5845, בהתאמה, עבור מצב אכיפה ומצב ביקורת.
תזמון עדכוני Windows
עדכוני Windows אלה פורסמו בכמה שלבים:
-
שינוי ראשוני ב- Windows Server 2025 (13 במאי 2025) – העדכון המקורי שהתבסס על שיחות RPC לא מאומתות של Netlogon נכלל בעדכון אבטחת Windows מאי 2025 עבור Windows Server 2025.
-
שינויים ראשוניים בפלטפורמות שרת אחרות (8 ביולי 2025) – העדכונים שהתבססו על קריאות RPC לא מאומתות המבוססות על Netlogon עבור פלטפורמות שרת אחרות נכללו אבטחת Windows עדכונים.
-
הוספה של מצב ביקורת ומצב לא זמין (12 באוגוסט 2025) – אכיפה כברירת מחדל עם אפשרות למצב ביקורת או מצב לא זמין נכללה ב- אבטחת Windows עדכונים.
-
הסרת מצב ביקורת ומצב לא זמין (TBD) – בתאריך מאוחר יותר, מצבי ביקורת ומצב לא זמין עשויים להוסר ממערכת ההפעלה. מאמר זה יעודכן כאשר יאושרו פרטים נוספים.
הדרכת פריסה
אם אתה פורס את אבטחת Windows עדכונים וברצונך להגדיר את ה- DCs שלך במצב ביקורת או לא זמין, פרוס את מפתח הרישום שלהלן עם הערך המתאים. לא נדרשת הפעלה מחדש.
|
נתיב |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
ערך רישום |
DCLocatorRPCSecurityPolicy |
|
סוג ערך |
REG_DWORD |
|
נתוני ערך |
0 - מצב לא זמין1 - מצב ביקורת2 - מצב אכיפה (ברירת מחדל) |
הערה: בקשות לא מאומתות יורשו הן במצב ביקורת והן במצב לא זמין.
אירועים חדשים שנוספו
ה- 12 באוגוסט 2025 אבטחת Windows עדכונים גם יומני אירועים חדשים ב- Windows Server 2012 דרך בקרי Windows Server 2022:
|
יומן אירועים |
Microsoft-Windows-Security-Netlogon/Operational |
|
סוג אירוע |
סמל מידע |
|
מזהה האירוע |
9015 |
|
טקסט אירוע |
Netlogon דחה קריאת RPC. המדיניות נמצאת במצב אכוף. פרטי לקוח: שם פעולת שירות: %method% Opnum של פעולת שירות: %opnum% כתובת לקוח: <כתובת IP> זהות לקוח: <מזהה SID> לקבלת מידע נוסף, ראה https://aka.ms/dclocatorrpcpolicy. |
|
יומן אירועים |
Microsoft-Windows-Security-Netlogon/Operational |
|
סוג אירוע |
סמל מידע |
|
מזהה האירוע |
9016 |
|
טקסט אירוע |
Netlogon אפשר קריאת RPC שבדרך כלל נדחתה. המדיניות נמצאת במצב ביקורת. פרטי לקוח: שם פעולת שירות: %method% Opnum של פעולת שירות: %opnum% כתובת לקוח: <כתובת IP> זהות לקוח: <מזהה SID> לקבלת מידע נוסף, ראה https://aka.ms/dclocatorrpcpolicy. |
הערה: בשרתי Windows 2008 SP2 ו- Windows 2008 R2, אירועים אלה יוצגו ביומני האירועים של המערכת בתור Netlogon Events 5844 ו- 5845, בהתאמה, עבור מצבי אכיפה וביקורת.
שאלות נפוצות (שאלות נפוצות)
המחשבים שאינם מעודכנים ב- 8 ביולי 2025 אבטחת Windows עדכונים ואילך, עדיין יאפשרו קריאות RPC לא מאומתות המבוססות על Netlogon & לא ירשום אירועים הקשורים לפגיעות זו.
מחשבים המעודכנים ב- 8 ביולי 2025 אבטחת Windows עדכונים לא יאפשרו שיחות RPC לא מאומתות המבוססות על Netlogon, אך לא ירשום אירוע כאשר שיחה כזו נחסמת.
כברירת מחדל, מחשבים המעודכנים ב- 12 באוגוסט 2025 אבטחת Windows עדכונים ואילך, לא יאפשרו שיחות RPC לא מאומתות המבוססות על Netlogon וירשום אירוע כאשר שיחה כזו נחסמת.
לא.
