Oorspronkelijke publicatiedatum: dinsdag 13 augustus 2025
KB-id: 5066014
In dit artikel:
Samenvatting
CVE-2025-49716 lost een Denial-of-Service-beveiligingsprobleem op waarbij externe niet-geverifieerde gebruikers een reeks op Netlogon gebaseerde externe procedureaanroepen (RPC) kunnen uitvoeren die uiteindelijk al het geheugen op een domeincontroller (DC) verbruiken. Om dit beveiligingsprobleem te verhelpen, is er een codewijziging aangebracht in de Windows-beveiliging update van mei 2025 voor Windows Server 2025 en de Windows-beveiliging Updates van juli 2025 voor alle andere serverplatforms van Windows Server 2008SP2 naar Windows Server 2022, inclusief. Deze update bevat een beveiligingsbeveiligingswijziging in het Microsoft RPC Netlogon-protocol. Deze wijziging verbetert de beveiliging door de toegangscontroles voor een set RPC-aanvragen (Remote Procedure Call) aan te scherpen. Nadat deze update is geïnstalleerd, staat Active Directory-domeincontrollers niet langer toe dat anonieme clients bepaalde RPC-aanvragen aanroepen via de Netlogon RPC-server. Deze aanvragen zijn meestal gerelateerd aan de locatie van de domeincontroller.
Na deze wijziging kan sommige bestand & afdrukservicesoftware worden beïnvloed, waaronder Samba. Samba heeft een update uitgebracht om deze wijziging aan te passen. Zie Samba 4.22.3 - Releaseopmerkingen voor meer informatie.
Om rekening te houden met scenario's waarin de betrokken software van derden niet kan worden bijgewerkt, hebben we in de Windows-beveiliging Update van augustus 2025 aanvullende configuratiemogelijkheden uitgebracht. Met deze wijziging wordt een wisselknop op basis van een registersleutel geïmplementeerd tussen de standaard afdwingingsmodus, een controlemodus waarmee wijzigingen worden geregistreerd, maar geen niet-geverifieerde Netlogon RPC-aanroepen worden geblokkeerd en een uitgeschakelde modus (niet aanbevolen).)
Actie ondernemen
Als u uw omgeving wilt beschermen en storingen wilt voorkomen, moet u eerst alle apparaten bijwerken die de Active Directory-domeincontroller of LDS-serverfunctie hosten door de meest recente Windows-updates te installeren. DC's met de Windows-beveiliging Updates van 8 juli 2025 of hoger (of Windows Server 2025 DC's met updates van mei) zijn standaard beveiligd en accepteren standaard niet-geverifieerde RPC-aanroepen op basis van Netlogon. DC's met de Windows-beveiliging Updates van 12 augustus 2025 of hoger accepteren standaard geen niet-geverifieerde RPC-aanroepen op basis van Netlogon, maar kunnen hiervoor tijdelijk worden geconfigureerd.
-
Bewaak uw omgeving op toegangsproblemen. Als deze worden aangetroffen, controleert u of de wijzigingen in de RPC-beveiliging van Netlogon de hoofdoorzaak zijn.
-
Als er alleen updates van juli zijn geïnstalleerd, schakelt u uitgebreide Netlogon-logboekregistratie in met de opdracht 'Nltest.exe /dbflag:0x2080ffff' en controleert u de resulterende logboeken op vermeldingen die lijken op de volgende regel. De velden OpNum en Methode kunnen variëren en vertegenwoordigen de bewerking en de RPC-methode die is geblokkeerd:
06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: een niet-geautoriseerde RPC-aanroep weigeren van [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
Als Windows-updates van augustus of hoger zijn geïnstalleerd, zoekt u naar Security-Netlogon gebeurtenis 9015 op uw dc's om te bepalen welke RPC-aanroepen worden geweigerd. Als deze aanroepen kritiek zijn, kunt u de DC tijdelijk in de controlemodus of uitgeschakelde modus plaatsen terwijl u problemen oplost.
-
Breng wijzigingen aan zodat de app geverifieerde RPC-aanroepen van Netlogon gebruikt of neem contact op met uw softwareleverancier voor meer informatie.
-
-
Als u DC's in de controlemodus plaatst, controleert u op Security-Netlogon gebeurtenis 9016 om te bepalen welke RPC-aanroepen worden geweigerd als u de afdwingingsmodus inschakelt. Breng vervolgens wijzigingen aan zodat de app geverifieerde Netlogon RPC-aanroepen gebruikt of neem contact op met uw softwareleverancier voor meer informatie.
Opmerking: Op Windows 2008 SP2- en Windows 2008 R2-servers worden deze gebeurtenissen weergegeven in de systeemgebeurtenislogboeken als respectievelijk Netlogon-gebeurtenissen 5844 en 5845 voor afdwingingsmodus en controlemodus.
Timing van Windows-updates
Deze Windows-updates zijn uitgebracht in verschillende fasen:
-
Initiële wijziging op Windows Server 2025 (13 mei 2025): de oorspronkelijke update die is beveiligd tegen niet-geverifieerde RPC-aanroepen op basis van Netlogon, is opgenomen in de Windows-beveiliging-update van mei 2025 voor Windows Server 2025.
-
Eerste wijzigingen op andere serverplatforms (8 juli 2025): de updates die zijn beveiligd tegen niet-geverifieerde RPC-aanroepen op basis van Netlogon voor andere serverplatforms, zijn opgenomen in de Windows-beveiliging Updates van juli 2025.
-
Toevoeging van controlemodus en uitgeschakelde modus (12 augustus 2025): standaard afdwingen met de optie Audit- of Uitgeschakelde modi is opgenomen in de Windows-beveiliging Updates van augustus 2025.
-
Controlemodus en uitgeschakelde modus (TBD) verwijderen: op een later tijdstip kunnen de modi Audit en Uitgeschakeld worden verwijderd uit het besturingssysteem. Dit artikel wordt bijgewerkt wanneer verdere details worden bevestigd.
Implementatierichtlijnen
Als u de Windows-beveiliging Updates augustus implementeert en uw DC's wilt configureren in de modus Audit of Uitgeschakeld, implementeert u de onderstaande registersleutel met de juiste waarde. Opnieuw opstarten is niet vereist.
|
Pad |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Registerwaarde |
DCLocatorRPCSecurityPolicy |
|
Waardetype |
REG_DWORD |
|
Waardegegevens |
0 - Uitgeschakelde modus1 - Controlemodus2 - Afdwingingsmodus (standaard) |
Opmerking: Niet-geverifieerde aanvragen zijn toegestaan in de modus Controle en Uitgeschakeld.
Nieuw toegevoegde gebeurtenissen
De Windows-beveiliging Updates van 12 augustus 2025 voegt ook nieuwe gebeurtenislogboeken toe op Windows Server 2012 via Windows Server 2022-domeincontrollers:
|
Gebeurtenislogboek |
Microsoft-Windows-Security-Netlogon/Operational |
|
Gebeurtenistype |
Informatie |
|
Gebeurtenis-id |
9015 |
|
Gebeurtenistekst |
Netlogon heeft een RPC-aanroep geweigerd. Het beleid bevindt zich in de modus Voor afdwingen. Clientgegevens: Methodenaam: %method% Methode opnum: %opnum% Clientadres: <IP-adres> Clientidentiteit: <sid-> Zie https://aka.ms/dclocatorrpcpolicy voor meer informatie. |
|
Gebeurtenislogboek |
Microsoft-Windows-Security-Netlogon/Operational |
|
Gebeurtenistype |
Informatie |
|
Gebeurtenis-id |
9016 |
|
Gebeurtenistekst |
Netlogon heeft een RPC-aanroep toegestaan die normaal gesproken zou zijn geweigerd. Het beleid bevindt zich in de controlemodus. Clientgegevens: Methodenaam: %method% Methode opnum: %opnum% Clientadres: <IP-adres> Clientidentiteit: <sid-> Zie https://aka.ms/dclocatorrpcpolicy voor meer informatie. |
Opmerking: Op windows 2008 SP2- en Windows 2008 R2-servers worden deze gebeurtenissen weergegeven in de systeemgebeurtenislogboeken als respectievelijk Netlogon-gebeurtenissen 5844 en 5845 voor de modus Afdwingen en controleren.
Veelgestelde vragen (FAQ)
De DC's die niet zijn bijgewerkt met de Windows-beveiliging Updates van 8 juli 2025 of hoger, staan nog steeds niet-geverifieerde RPC-aanroepen op basis van Netlogon toe & geen gebeurtenissen registreren die betrekking hebben op dit beveiligingsprobleem.
Dc's die zijn bijgewerkt met de Windows-beveiliging Updates van 8 juli 2025, staan niet-geverifieerde RPC-aanroepen op basis van Netlogon niet toe, maar registreren geen gebeurtenis wanneer een dergelijke aanroep wordt geblokkeerd.
Dc's die zijn bijgewerkt met de Windows-beveiliging Updates van 12 augustus 2025 of hoger, staan standaard geen niet-geverifieerde RPC-aanroepen op basis van Netlogon toe en registreren een gebeurtenis wanneer een dergelijke aanroep wordt geblokkeerd.
Nee.
