Oryginalna data publikacji: 13 sierpnia 2025 r.
Identyfikator BAZY WIEDZY: 5066014
W tym artykule:
Podsumowanie
CVE-2025-49716 rozwiązuje lukę w zabezpieczeniach polegającą na tym, że zdalni nieuwierzytelnieni użytkownicy mogą wykonywać serię zdalnych wywołań procedur opartych na netlogonie (RPC), które ostatecznie zużywają całą pamięć na kontrolerze domeny (DC). Aby ograniczyć tę lukę w zabezpieczeniach, w aktualizacji Zabezpieczenia Windows z maja 2025 r. wprowadzono zmianę kodu dla Windows Server 2025 r. oraz Zabezpieczenia Windows Aktualizacje z lipca 2025 r. dla wszystkich innych platform serwerowych z Windows Server od 2008SP2 do Windows Server 2022 r. włącznie. Ta aktualizacja zawiera zmianę zabezpieczeń w protokole Microsoft RPC Netlogon. Ta zmiana zwiększa bezpieczeństwo poprzez zaostrzenie kontroli dostępu dla zestawu żądań zdalnego wywołania procedur (RPC). Po zainstalowaniu tej aktualizacji kontrolery domeny usługi Active Directory nie będą już zezwalać klientom anonimowym na wywoływanie niektórych żądań RPC za pośrednictwem serwera RPC Netlogon. Te żądania są zwykle związane z lokalizacją kontrolera domeny.
Po tej zmianie może dotyczyć niektórych plików & oprogramowania usługi drukowania, w tym samby. Samba wydała aktualizację, aby uwzględnić tę zmianę. Aby uzyskać więcej informacji , zobacz Samba 4.22.3 — informacje o wersji .
Aby uwzględnić scenariusze, w których nie można zaktualizować oprogramowania innych firm, w aktualizacji Zabezpieczenia Windows z sierpnia 2025 r. opublikowano dodatkowe możliwości konfiguracji. Ta zmiana implementuje przełącznik oparty na kluczach rejestru między domyślnym trybem wymuszania, trybem inspekcji, który rejestruje zmiany, ale nie blokuje nieuwierzytelnionych wywołań Netlogon RPC, a trybem wyłączonym (niezalecane).
Podejmij działanie
Aby chronić środowisko i uniknąć przerw w dostawie prądu, najpierw zaktualizuj wszystkie urządzenia hostujące kontroler domeny usługi Active Directory lub rolę serwera LDS, instalując najnowsze aktualizacje systemu Windows. Komputery z aktualizacjami z 8 lipca 2025 r. lub nowszym Zabezpieczenia Windows Aktualizacje (lub Windows Server 2025 r. z aktualizacjami z maja) są domyślnie bezpieczne i domyślnie nie akceptują nieuwierzytelnionych połączeń RPC opartych na netlogonie. Kontrolery domeny z domyślnym Zabezpieczenia Windows Aktualizacje 12 sierpnia 2025 r. lub nowszym nie akceptują domyślnie nieuwierzytelnionych wywołań RPC opartych na witrynie Netlogon, ale można to skonfigurować tymczasowo.
-
Monitoruj swoje środowisko pod kątem problemów z dostępem. Jeśli wystąpi, potwierdź, czy główne przyczyną są zmiany stwardnienia RPC netlogon.
-
Jeśli są zainstalowane tylko aktualizacje z lipca, włącz szczegółowe rejestrowanie w witrynie Netlogon, używając polecenia "Nltest.exe /dbflag:0x2080ffff", a następnie monitoruj dzienniki wynikowe pod kątem wpisów przypominających poniższy wiersz. Pola OpNum i Metody mogą się różnić i reprezentują operację oraz zablokowaną metodę RPC:
06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: odrzucanie nieautoryzowanego połączenia RPC z [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
Jeśli zostaną zainstalowane aktualizacje systemu Windows z sierpnia lub nowszej wersji, poszukaj Security-Netlogon zdarzenia 9015 na komputerach osobistych, aby ustalić, które połączenia RPC są odrzucane. Jeśli te wywołania mają kluczowe znaczenie, możesz tymczasowo umieścić kontroler domeny w trybie inspekcji lub w trybie wyłączonym podczas rozwiązywania problemów.
-
Wprowadź zmiany, aby aplikacja używała uwierzytelnionych połączeń RPC netlogon lub skontaktuj się z dostawcą oprogramowania, aby uzyskać więcej informacji.
-
-
Jeśli przełączysz komputery w tryb inspekcji, monitoruj pod kątem Security-Netlogon zdarzenia 9016, aby ustalić, jakie wywołania RPC zostaną odrzucone po włączeniu trybu wymuszania. Następnie wprowadź zmiany, aby aplikacja używała uwierzytelnionych połączeń RPC netlogon lub skontaktuj się z dostawcą oprogramowania, aby uzyskać więcej informacji.
Uwaga: Na serwerach systemów Windows 2008 z dodatkiem SP2 i Windows 2008 R2 te zdarzenia będą widoczne odpowiednio w dziennikach zdarzeń systemowych jako Zdarzenia Netlogon 5844 i 5845 dla trybu wymuszania i trybu inspekcji.
Chronometraż aktualizacji systemu Windows
Te aktualizacje systemu Windows zostały wydane w kilku fazach:
-
Początkowa zmiana w Windows Server 2025 r. (13 maja 2025 r.) — oryginalna aktualizacja, która została wzmocniona przed nieuwierzytelnionymi wywołaniami RPC opartymi na netlogonie, została uwzględniona w aktualizacji Zabezpieczenia Windows z maja 2025 r. dla Windows Server 2025 r.
-
Początkowe zmiany na innych platformach serwerowych (8 lipca 2025 r.) — aktualizacje, które zostały wzmocnione w stosunku do nieuwierzytelnionych wywołań RPC opartych na netlogonie dla innych platform serwerowych, zostały uwzględnione w lipcu 2025 r. Zabezpieczenia Windows Aktualizacje.
-
Dodanie trybu inspekcji i trybu wyłączonego (12 sierpnia 2025 r.) — domyślnie wymuszanie z opcją dla trybu inspekcji lub wyłączenia zostało uwzględnione w Zabezpieczenia Windows Aktualizacje sierpnia 2025 r.
-
Usunięcie trybu inspekcji i trybu wyłączonego (TBD) — w późniejszym terminie tryby inspekcji i wyłączenia mogą zostać usunięte z systemu operacyjnego. Ten artykuł zostanie zaktualizowany po potwierdzeniu dalszych szczegółów.
Wskazówki dotyczące wdrażania
Jeśli wdrożysz Zabezpieczenia Windows Aktualizacje sierpnia i zechcesz skonfigurować swoje kontrolery domeny w trybie inspekcji lub wyłączenia, wdróż poniższy klucz rejestru z odpowiednią wartością. Ponowne uruchomienie nie jest wymagane.
|
Ścieżka |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Wartość rejestru |
DCLocatorRPCSecurityPolicy |
|
Typ wartości |
REG_DWORD |
|
Dane wartości |
0 — Tryb wyłączony1 — tryb inspekcji2 — tryb wymuszania (domyślny) |
Uwaga: Żądania nieuwierzytelnione będą dozwolone zarówno w trybie inspekcji, jak i w trybie wyłączonym.
Nowo dodane zdarzenia
12 sierpnia 2025 r. Zabezpieczenia Windows Aktualizacje doda również nowe dzienniki zdarzeń na Windows Server 2012 za pomocą kontrolerów domeny Windows Server 2022 r.:
|
Dziennik zdarzeń |
Microsoft-Windows-Security-Netlogon/Operational |
|
Typ zdarzenia |
Informacje |
|
Identyfikator zdarzenia |
9015 |
|
Tekst zdarzenia |
Netlogon zaprzeczył połączeniu RPC. Zasady są w trybie wymuszania. Informacje o klientach: Nazwa metody: %method% Numer opnum metody: %opnum% Adres klienta: <adres IP> Tożsamość klienta:> SID wywołującego < Aby uzyskać więcej informacji, zobacz https://aka.ms/dclocatorrpcpolicy. |
|
Dziennik zdarzeń |
Microsoft-Windows-Security-Netlogon/Operational |
|
Typ zdarzenia |
Informacje |
|
Identyfikator zdarzenia |
9016 |
|
Tekst zdarzenia |
Netlogon pozwolił na połączenie RPC, które normalnie zostałoby odrzucone. Zasady są w trybie inspekcji. Informacje o klientach: Nazwa metody: %method% Numer opnum metody: %opnum% Adres klienta: <adres IP> Tożsamość klienta:> SID wywołującego < Aby uzyskać więcej informacji, zobacz https://aka.ms/dclocatorrpcpolicy. |
Uwaga: Na serwerach systemów Windows 2008 z dodatkiem SP2 i Windows 2008 R2 te zdarzenia będą widoczne odpowiednio w dziennikach zdarzeń systemowych jako Zdarzenia Netlogon 5844 i 5845 w trybach wymuszania i inspekcji.
Często zadawane pytania (często zadawane pytania)
Komputery, które nie zostaną zaktualizowane w Zabezpieczenia Windows Aktualizacje z 8 lipca 2025 r. lub nowszym, nadal będą zezwalać na nieuwierzytelnione wywołania RPC oparte na witrynie Netlogon & nie będą rejestrować zdarzeń związanych z tą luką.
Komputery, które zostały zaktualizowane o Zabezpieczenia Windows Aktualizacje z 8 lipca 2025 r., nie zezwalają na nieuwierzytelnione połączenia RPC oparte na netlogonie, ale nie rejestrują zdarzeń, gdy takie połączenie jest zablokowane.
Domyślnie komputery DCs zaktualizowane o Zabezpieczenia Windows Aktualizacje z 12 sierpnia 2025 r. lub nowsze nie będą zezwalać na nieuwierzytelnione połączenia RPC oparte na witrynie Netlogon i będą rejestrować zdarzenia, gdy takie połączenie zostanie zablokowane.
Nie.
