KB5066014- Protezione avanzata RPC (CVE-2025-49716)

In questo articolo:

• Riassunto

• Agire

• Tempistiche degli aggiornamenti di Windows

• Linee guida per la distribuzione

• Nuovi eventi aggiunti

• Domande frequenti

Riassunto

CVE-2025-49716 risolve una vulnerabilità denial-of-service in cui gli utenti remoti non autenticati potrebbero effettuare una serie di chiamate RPC (Remote Procedure Call) basate su Netlogon che alla fine utilizzano tutta la memoria di un controller di dominio. Per attenuare questa vulnerabilità, è stata apportata una modifica del codice nell'aggiornamento di Sicurezza di Windows di maggio 2025 per Windows Server 2025 e nel Sicurezza di Windows Aggiornamenti di luglio 2025 per tutte le altre piattaforme Server da Windows Server 2008SP2 a Windows Server 2022 inclusi.  Questo aggiornamento include una modifica della protezione avanzata al protocollo Microsoft RPC Netlogon. Questa modifica migliora la sicurezza stringendo i controlli di accesso per un set di richieste RPC (Remote Procedure Call). Dopo aver installato questo aggiornamento, i controller di dominio di Active Directory non consentiranno più ai client anonimi di richiamare alcune richieste RPC tramite il server RPC netlogon. Queste richieste sono in genere correlate alla posizione del controller di dominio.

Dopo questa modifica, alcuni software del servizio di stampa & file possono essere interessati, tra cui Samba. Samba ha rilasciato un aggiornamento per supportare questa modifica. Per altre informazioni, vedere Samba 4.22.3 - Note sulla versione .

Per soddisfare scenari in cui non è possibile aggiornare il software di terze parti interessato, è stata rilasciata una funzionalità di configurazione aggiuntiva nell'aggiornamento di Sicurezza di Windows di agosto 2025. Questa modifica implementa un interruttore basato sulla chiave del Registro di sistema tra la modalità di applicazione predefinita, una modalità di controllo che registra le modifiche ma non blocca le chiamate RPC Netlogon non autenticate e una modalità disabilitata (scelta non consigliata).

Agire

Per proteggere l'ambiente ed evitare interruzioni, aggiornare prima di tutto tutti i dispositivi che ospitano il controller di dominio Active Directory o il ruolo server LDS installando gli aggiornamenti più recenti di Windows. I controller di dominio con i Sicurezza di Windows Aggiornamenti dell'8 luglio 2025 o versione successiva (o di Windows Server 2025 con aggiornamenti di maggio) sono protetti per impostazione predefinita e non accettano chiamate RPC basate su Netlogon non autenticate per impostazione predefinita. I controller di dominio con il Sicurezza di Windows Aggiornamenti del 12 agosto 2025 o versione successiva non accettano chiamate RPC basate su Netlogon non autenticate per impostazione predefinita, ma possono essere configurate per farlo temporaneamente.

1. Monitorare l'ambiente per problemi di accesso. Se rilevato, verifica se la causa principale è la modifica della protezione avanzata RPC di Netlogon.

   1. Se vengono installati solo gli aggiornamenti di luglio, abilitare la registrazione dettagliata di Netlogon utilizzando il comando "Nltest.exe /dbflag:0x2080ffff" e quindi monitorare i log risultanti per le voci simili alla riga seguente. I campi OpNum e Metodo possono variare e rappresentano l'operazione e il metodo RPC che è stato bloccato:

      23/06 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: rifiuto di una chiamata RPC non autorizzata da [IPAddr] OpNum:34 Metodo:DsrGetDcNameEx2

   2. Se sono installati gli aggiornamenti di Windows di agosto o successivo, cerca Security-Netlogon evento 9015 nei controller di dominio per determinare quali chiamate RPC vengono rifiutate. Se queste chiamate sono critiche, è possibile attivare temporaneamente il controller di dominio in modalità di controllo o in modalità di disabilitazione durante la risoluzione dei problemi.

   3. Apporta modifiche in modo che l'app usi chiamate RPC Netlogon autenticate o contatta il fornitore del software per ulteriori informazioni.

2. Se metti i controller di dominio in modalità di controllo, monitora per Security-Netlogon evento 9016 per determinare quali chiamate RPC verrebbero rifiutate se attivassi la modalità di applicazione. Apporta quindi modifiche in modo che l'app usi chiamate RPC Netlogon autenticate o contatta il fornitore del software per ulteriori informazioni.

Tempistiche degli aggiornamenti di Windows

Questi aggiornamenti di Windows sono stati rilasciati in diverse fasi:

1. Modifica iniziale Windows Server 2025 (13 maggio 2025): l'aggiornamento originale con protezione avanzata contro le chiamate RPC non autenticate basate su Netlogon è stato incluso nell'aggiornamento di Sicurezza di Windows di maggio 2025 per Windows Server 2025.

2. Modifiche iniziali su altre piattaforme server (8 luglio 2025): nella Sicurezza di Windows Aggiornamenti di luglio 2025 sono stati inclusi gli aggiornamenti per le chiamate RPC non autenticate basate su Netlogon per altre piattaforme server.

3. Aggiunta della modalità di controllo e della modalità di disabilitazione (12 agosto 2025): per impostazione predefinita, nell'Sicurezza di Windows Aggiornamenti di agosto 2025 è stata inclusa l'applicazione con un'opzione per le modalità di controllo o disabilitazione.

4. Rimozione della modalità di controllo e della modalità di disabilitazione : in un secondo momento, le modalità di controllo e disabilitazione potrebbero essere rimosse dal sistema operativo. Questo articolo verrà aggiornato quando verranno confermati ulteriori dettagli.

Linee guida per la distribuzione

Se si distribuisce il Sicurezza di Windows Aggiornamenti di agosto e si vogliono configurare i controller di dominio in modalità di controllo o disabilitata, distribuire la chiave del Registro di sistema seguente con il valore appropriato. Non è richiesto alcun riavvio.

Nuovi eventi aggiunti

Il Sicurezza di Windows Aggiornamenti del 12 agosto 2025 aggiungerà anche nuovi registri eventi nei controller di dominio Windows Server 2012 Windows Server 2022:

Domande frequenti