Data de publicação original: 13 de agosto de 2025
ID do KB: 5066014
Neste artigo:
Resumo
O CVE-2025-49716 aborda uma vulnerabilidade de negação de serviço em que usuários remotos não autenticados poderiam fazer uma série de RPC (Chamadas de Procedimento Remoto) baseadas em Netlogon que eventualmente consomem toda a memória em um Controlador de Domínio (DC). Para atenuar essa vulnerabilidade, uma alteração de código foi feita na atualização de Segurança do Windows de maio de 2025 para Windows Server 2025 e a Segurança do Windows Atualizações de julho de 2025 para todas as outras plataformas do Server de Windows Server 2008SP2 para Windows Server 2022, inclusive. Esta atualização inclui uma alteração de endurecimento de segurança no protocolo Microsoft RPC Netlogon. Essa alteração melhora a segurança apertando as verificações de acesso para um conjunto de solicitações de RPC (chamada de procedimento remoto). Depois que essa atualização for instalada, os controladores de domínio do Active Directory não permitirão mais que clientes anônimos invoquem algumas solicitações RPC por meio do servidor RPC do Netlogon. Essas solicitações normalmente estão relacionadas ao local do controlador de domínio.
Após essa alteração, alguns arquivos & software de serviço de impressão podem ser afetados, incluindo samba. O Samba lançou uma atualização para acomodar essa alteração. Confira Samba 4.22.3 – Notas de versão para obter mais informações.
Para acomodar cenários em que o software de terceiros afetado não pode ser atualizado, lançamos recursos adicionais de configuração na Atualização de Segurança do Windows de agosto de 2025. Essa alteração implementa uma alternância baseada em chave de registro entre o Modo de Execução padrão, um Modo de Auditoria que registrará alterações, mas não bloqueará chamadas não autenticadas do Netlogon RPC e um Modo de Desabilitado (não recomendado).)
Tome medidas
Para proteger seu ambiente e evitar interrupções, primeiro atualize todos os dispositivos que hospedam o controlador de domínio do Active Directory ou a função LDS Server instalando as atualizações mais recentes do Windows. Os DCs com as Segurança do Windows Atualizações atualizações de 8 de julho de 2025 ou posteriores (ou Windows Server 2025 DCs com atualizações de maio) são seguros por padrão e não aceitam chamadas RPC baseadas em Netlogon não autenticadas por padrão. Os DCs que têm o Segurança do Windows Atualizações de 12 de agosto de 2025 ou posterior não aceitam chamadas RPC baseadas em Netlogon não autenticadas por padrão, mas podem ser configurados para fazê-lo temporariamente.
-
Monitore seu ambiente em busca de problemas de acesso. Se encontrado, confirme se as alterações de endurecimento do RPC do Netlogon são a causa raiz.
-
Se apenas as atualizações de julho estiverem instaladas, habilite o log verboso do Netlogon usando o comando "Nltest.exe /dbflag:0x2080ffff" e monitore os logs resultantes para entradas semelhantes à linha a seguir. Os campos OpNum e Method podem variar e representar a operação e o método RPC bloqueados:
23/06 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: rejeitando uma chamada RPC não autorizada de [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
Se as atualizações do Windows de agosto ou posteriores forem instaladas, procure Security-Netlogon Evento 9015 em seus DCs para determinar quais chamadas RPC estão sendo rejeitadas. Se essas chamadas forem críticas, você poderá colocar o DC no Modo de Auditoria ou modo desabilitado temporariamente enquanto soluciona problemas.
-
Faça alterações de modo que o aplicativo esteja usando chamadas autenticadas do Netlogon RPC ou entre em contato com seu fornecedor de software para obter mais informações.
-
-
Se você colocar DCs no Modo de Auditoria, monitore para Security-Netlogon Evento 9016 para determinar quais chamadas RPC seriam rejeitadas se você ativasse o Modo de Execução. Em seguida, faça alterações de modo que o aplicativo esteja usando chamadas autenticadas do Netlogon RPC ou entre em contato com seu fornecedor de software para obter mais informações.
Observação: Nos servidores Windows 2008 SP2 e Windows 2008 R2, esses eventos serão vistos nos logs de eventos do Sistema como Netlogon Events 5844 e 5845, respectivamente, para Modo de Execução e Modo de Auditoria.
Momento das atualizações do Windows
Essas atualizações do Windows foram lançadas em várias fases:
-
Alteração inicial no Windows Server 2025 (13 de maio de 2025) – A atualização original que endureceu contra chamadas RPC baseadas em Netlogon não autenticadas foi incluída na Atualização de Segurança do Windows de maio de 2025 para Windows Server 2025.
-
Alterações iniciais em outras plataformas de servidor (8 de julho de 2025) – As atualizações que endureceram contra chamadas RPC baseadas em Netlogon não autenticadas para outras plataformas do Server foram incluídas no Segurança do Windows Atualizações de julho de 2025.
-
Adição do Modo de Auditoria e modo desabilitado (12 de agosto de 2025) – A imposição por padrão com uma opção para modos auditar ou desabilitado foi incluída no Segurança do Windows Atualizações de agosto de 2025.
-
Remoção do modo de auditoria e do modo desabilitado (TBD) – Em uma data posterior, os modos Audit e Disabled podem ser removidos do sistema operacional. Este artigo será atualizado quando mais detalhes forem confirmados.
Diretrizes de implantação
Se você implantar o Segurança do Windows Atualizações de agosto e quiser configurar seus DCs no modo Auditoria ou Desabilitado, implante a chave do registro abaixo com o valor apropriado. Nenhuma reinicialização é necessária.
|
Caminho |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters |
|
Valor do Registro |
DCLocatorRPCSecurityPolicy |
|
Tipo de valor |
REG_DWORD |
|
Dados do valor |
0 – Modo desabilitado1 – Modode Auditoria 2 – Modo de Execução (padrão) |
Observação: Solicitações não autenticadas serão permitidas nos modos Audit e Disabled.
Eventos recém-adicionados
O Segurança do Windows Atualizações de 12 de agosto de 2025 também adicionará novos logs de eventos em Windows Server 2012 até Windows Server controladores de domínio de 2022:
|
Log de Eventos |
Microsoft-Windows-Security-Netlogon/Operational |
|
Tipo de Evento |
Informações |
|
ID de Evento |
9015 |
|
Texto do Evento |
Netlogon negou uma chamada RPC. A política está no modo de impor. Informações do cliente: Nome do método: %method% Opnum de método: %opnum% Endereço do cliente: <endereço IP> Identidade do cliente:> sid do chamador < Para obter mais informações, consulte https://aka.ms/dclocatorrpcpolicy. |
|
Log de Eventos |
Microsoft-Windows-Security-Netlogon/Operational |
|
Tipo de Evento |
Informações |
|
ID de Evento |
9016 |
|
Texto do Evento |
Netlogon permitiu uma chamada RPC que normalmente teria sido negada. A política está no modo de auditoria. Informações do cliente: Nome do método: %method% Opnum de método: %opnum% Endereço do cliente: <endereço IP> Identidade do cliente:> sid do chamador < Para obter mais informações, consulte https://aka.ms/dclocatorrpcpolicy. |
Observação: Nos servidores Windows 2008 SP2 e Windows 2008 R2, esses eventos serão vistos nos logs de eventos do Sistema como Netlogon Events 5844 e 5845, respectivamente, para modos de Execução e Auditoria.
Perguntas frequentes (perguntas frequentes)
Os DCs que não são atualizados com o Segurança do Windows Atualizações de 8 de julho de 2025 ou posteriores ainda permitirão chamadas RPC não autenticadas baseadas em Netlogon & não registrarão eventos relacionados a essa vulnerabilidade.
Os DCs atualizados com o Segurança do Windows Atualizações de 8 de julho de 2025 não permitirão chamadas RPC não autenticadas baseadas em Netlogon, mas não registrarão um evento quando essa chamada for bloqueada.
Por padrão, os DCs atualizados com o Segurança do Windows Atualizações de 12 de agosto de 2025 ou posteriores não permitirão chamadas RPC baseadas em Netlogon não autenticadas e registrarão um evento quando essa chamada for bloqueada.
Não.
