원래 게시 날짜: 2025년 8월 13일
KB ID: 5066014
이 문서에서는 다음을 수행합니다.
요약
CVE-2025-49716은 원격 인증되지 않은 사용자가 결국 DC(도메인 컨트롤러)에서 모든 메모리를 소비하는 일련의 Netlogon 기반 RPC(원격 프로시저 호출)를 만들 수 있는 서비스 거부 취약성을 해결합니다. 이 취약성을 완화하기 위해 2025년 5월 Windows 보안 업데이트에서 Windows Server 2025년 7월 업데이트와 Windows Server 2008SP2에서 Windows 보안 업데이트 Windows Server 2022년, 포함. 이 업데이트에는 Microsoft RPC Netlogon 프로토콜에 대한 보안 강화 변경이 포함됩니다. 이 변경은 RPC(원격 프로시저 호출) 요청 집합에 대한 액세스 검사를 강화하여 보안을 향상시킵니다. 이 업데이트가 설치되면 Active Directory 도메인 컨트롤러는 더 이상 익명 클라이언트가 Netlogon RPC 서버를 통해 일부 RPC 요청을 호출하도록 허용하지 않습니다. 이러한 요청은 일반적으로 도메인 컨트롤러 위치와 관련이 있습니다.
이 변경 후 Samba를 비롯한 일부 파일 & 인쇄 서비스 소프트웨어가 영향을 받을 수 있습니다. Samba는 이 변경에 맞게 업데이트를 릴리스했습니다. 자세한 내용은 Samba 4.22.3 - 릴리스 정보를 참조하세요.
영향을 받는 타사 소프트웨어를 업데이트할 수 없는 시나리오를 수용하기 위해 2025년 8월 Windows 보안 업데이트에서 추가 구성 기능을 릴리스했습니다. 이 변경은 기본 적용 모드, 변경 내용을 기록하지만 인증되지 않은 Netlogon RPC 호출을 차단하지 않는 감사 모드 및 사용 안 함 모드(권장되지 않음) 간에 레지스트리 키 기반 토글을 구현합니다.
조치 취하기
환경을 보호하고 중단을 방지하려면 먼저 최신 Windows 업데이트를 설치하여 Active Directory 도메인 컨트롤러 또는 LDS 서버 역할을 호스트하는 모든 디바이스를 업데이트합니다. 2025년 7월 8일 이상 Windows 보안 업데이트(또는 5월 업데이트가 있는 Windows Server 2025년 DC)가 있는 DC는 기본적으로 안전하며 기본적으로 인증되지 않은 Netlogon 기반 RPC 호출을 허용하지 않습니다. 2025년 8월 12일 이상 Windows 보안 업데이트 DC는 기본적으로 인증되지 않은 Netlogon 기반 RPC 호출을 허용하지 않지만 일시적으로 수행하도록 구성할 수 있습니다.
-
액세스 문제에 대한 환경을 모니터링합니다. 발생한 경우 Netlogon RPC 강화 변경이 근본 원인인지 확인합니다.
-
7월 업데이트만 설치되면 "Nltest.exe /dbflag:0x2080ffff" 명령을 사용하여 자세한 Netlogon 로깅을 사용하도록 설정한 다음, 결과 로그에서 다음 줄과 유사한 항목에 대해 모니터링합니다. OpNum 및 메서드 필드는 다를 수 있으며 차단된 작업 및 RPC 메서드를 나타냅니다.
06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: [IPAddr] OpNum:34 메서드:DsrGetDcNameEx2에서 권한 없는 RPC 호출 거부
-
8월 이상 Windows 업데이트가 설치된 경우 DC에서 Security-Netlogon 이벤트 9015를 찾아 거부되는 RPC 호출을 확인합니다. 이러한 호출이 중요한 경우 문제를 해결하는 동안 DC를 감사 모드 또는 비활성화 모드로 임시로 배치할 수 있습니다.
-
앱이 인증된 Netlogon RPC 호출을 사용할 수 있도록 변경하거나 소프트웨어 공급업체에 문의하여 자세한 내용을 확인하세요.
-
-
DC를 감사 모드로 전환한 경우 Security-Netlogon 이벤트 9016을 모니터링하여 적용 모드를 설정한 경우 거부될 RPC 호출을 확인합니다. 그런 다음 앱에서 인증된 Netlogon RPC 호출을 사용하거나 소프트웨어 공급업체에 문의하여 자세한 내용을 확인합니다.
참고: Windows 2008 SP2 및 Windows 2008 R2 서버에서 이러한 이벤트는 시스템 이벤트 로그에 적용 모드 및 감사 모드의 경우 각각 Netlogon 이벤트 5844 및 5845로 표시됩니다.
Windows 업데이트 시기
이러한 Windows 업데이트는 여러 단계로 릴리스되었습니다.
-
2025년 Windows Server 초기 변경(2025년 5월 13일) – 인증되지 않은 Netlogon 기반 RPC 호출에 대해 강화된 원래 업데이트는 2025년 5월 Windows 보안 업데이트에서 Windows Server 2025년 5월에 포함되었습니다.
-
다른 서버 플랫폼의 초기 변경 내용(2025년 7월 8일) – 다른 서버 플랫폼에 대한 인증되지 않은 Netlogon 기반 RPC 호출에 대해 강화된 업데이트는 2025년 7월 Windows 보안 업데이트 포함되었습니다.
-
감사 모드 및 사용 안 함 모드 추가(2025년 8월 12일) – 감사 또는 사용 안 함 모드에 대한 옵션과 함께 기본적으로 적용이 2025년 8월 Windows 보안 업데이트 포함되었습니다.
-
감사 모드 및 사용 안 함 모드(TBD) 제거 – 나중에 OS에서 감사 및 사용 안 함 모드를 제거할 수 있습니다. 이 문서는 추가 세부 정보가 확인되면 업데이트됩니다.
배포 지침
8월 Windows 보안 업데이트 배포하고 DC를 감사 또는 사용 안 함 모드로 구성하려면 적절한 값으로 아래 레지스트리 키를 배포합니다. 다시 시작은 필요하지 않습니다.
|
경로 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
레지스트리 값 |
DCLocatorRPCSecurityPolicy |
|
값 형식 |
REG_DWORD |
|
값 데이터 |
0 - 사용 안 함 모드1 - 감사 모드2 - 적용 모드(기본값) |
참고: 인증되지 않은 요청은 감사 모드와 사용 안 함 모드 모두에서 허용됩니다.
새로 추가된 이벤트
또한 2025년 8월 12일 Windows 보안 업데이트 2022년 Windows Server 도메인 컨트롤러를 통해 Windows Server 2012 새 이벤트 로그를 추가합니다.
|
이벤트 로그 |
Microsoft-Windows-Security-Netlogon/Operational |
|
이벤트 형식 |
정보 |
|
이벤트 ID |
9015 |
|
이벤트 텍스트 |
Netlogon은 RPC 호출을 거부했습니다. 정책이 적용 모드에 있습니다. 클라이언트 정보: 메서드 이름: %method% 메서드 opnum: %opnum% 클라이언트 주소: <IP 주소> 클라이언트 ID: <호출자 SID> |
|
이벤트 로그 |
Microsoft-Windows-Security-Netlogon/Operational |
|
이벤트 형식 |
정보 |
|
이벤트 ID |
9016 |
|
이벤트 텍스트 |
Netlogon은 일반적으로 거부되었을 RPC 호출을 허용했습니다. 정책이 감사 모드에 있습니다. 클라이언트 정보: 메서드 이름: %method% 메서드 opnum: %opnum% 클라이언트 주소: <IP 주소> 클라이언트 ID: <호출자 SID> |
참고: Windows 2008 SP2 및 Windows 2008 R2 서버에서 이러한 이벤트는 시스템 이벤트 로그에 적용 및 감사 모드에 대해 각각 Netlogon 이벤트 5844 및 5845로 표시됩니다.
FAQ(질문과 대답)
2025년 7월 8일 Windows 보안 업데이트 이상으로 업데이트되지 않은 DC는 인증되지 않은 Netlogon 기반 RPC 호출을 계속 허용합니다& 이 취약성과 관련된 이벤트를 기록하지 않습니다.
2025년 7월 8일 Windows 보안 업데이트 업데이트된 DC는 인증되지 않은 Netlogon 기반 RPC 호출을 허용하지 않지만 이러한 호출이 차단되면 이벤트를 기록하지 않습니다.
기본적으로 2025년 8월 12일 Windows 보안 업데이트 이상으로 업데이트되는 DC는 인증되지 않은 Netlogon 기반 RPC 호출을 허용하지 않으며 이러한 호출이 차단되면 이벤트를 기록합니다.
아니요.
