Data de publicação original: 13 de agosto de 2025
ID da BDC: 5066014
Neste artigo:
Resumo
O CVE-2025-49716 resolve uma vulnerabilidade Denial-of-Service em que os utilizadores remotos não autenticados poderiam fazer uma série de Chamadas de Procedimento Remoto (RPC) baseadas em Netlogon que eventualmente consomem toda a memória num Controlador de Domínio (DC). Para mitigar esta vulnerabilidade, foi efetuada uma alteração de código na Atualização de Segurança do Windows de maio de 2025 para Windows Server 2025 e na Segurança do Windows Atualizações de julho de 2025 para todas as outras plataformas de Servidor do Windows Server 2008SP2 para Windows Server 2022, inclusive. Esta atualização inclui uma alteração de proteção de segurança para o protocolo Microsoft RPC Netlogon. Esta alteração melhora a segurança ao reforçar as verificações de acesso para um conjunto de pedidos de chamada de procedimento remoto (RPC). Após a instalação desta atualização, os controladores de domínio do Active Directory deixarão de permitir que os clientes anónimos invoquem alguns pedidos RPC através do servidor Netlogon RPC. Normalmente, estes pedidos estão relacionados com a localização do controlador de domínio.
Após esta alteração, alguns ficheiros & software do serviço de impressão podem ser afetados, incluindo o Samba. O Samba lançou uma atualização para acomodar esta alteração. Consulte Samba 4.22.3 - Notas de Versão para obter mais informações.
Para acomodar cenários em que o software de terceiros afetado não pode ser atualizado, lançámos a capacidade de configuração adicional na Atualização de Segurança do Windows de agosto de 2025. Esta alteração implementa um botão de alternar baseado na chave de registo entre o Modo de Imposição predefinido, um Modo de Auditoria que registará alterações, mas não bloqueará chamadas Netlogon RPC não autenticadas e um Modo Desativado (não recomendado).)
Tomar medidas
Para proteger o seu ambiente e evitar interrupções, primeiro atualize todos os dispositivos que alojam o controlador de domínio do Active Directory ou a função de Servidor LDS ao instalar as atualizações mais recentes do Windows. Os DCs que têm as atualizações de 8 de julho de 2025 ou posterior Segurança do Windows Atualizações (ou Windows Server DCs de 2025 com atualizações de maio) são seguros por predefinição e não aceitam chamadas RPC não autenticadas baseadas em Netlogon por predefinição. Os DCs que têm as Segurança do Windows Atualizações de 12 de agosto de 2025 ou posterior não aceitam chamadas RPC não autenticadas baseadas em Netlogon por predefinição, mas podem ser configuradas para o fazer temporariamente.
-
Monitorize o seu ambiente para problemas de acesso. Se for encontrado, confirme se as alterações de proteção de RPC do Netlogon são a causa principal.
-
Se apenas estiverem instaladas atualizações de julho, ative o registo verboso do Netlogon com o comando "Nltest.exe /dbflag:0x2080ffff" e, em seguida, monitorize os registos resultantes para entradas semelhantes à linha seguinte. Os campos OpNum e Method podem variar e representar a operação e o método RPC que foi bloqueado:
06/23 10:50:39 [CRÍTICO] [5812] NlRpcSecurityCallback: rejeitar uma chamada RPC não autorizada de [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
Se estiverem instaladas atualizações de agosto ou posteriores do Windows, procure Security-Netlogon Evento 9015 nos seus DCs para determinar que chamadas RPC estão a ser rejeitadas. Se estas chamadas forem críticas, pode colocar o DC no Modo de Auditoria ou no Modo Desativado temporariamente enquanto resolução de problemas.
-
Efetue alterações de modo a que a aplicação esteja a utilizar chamadas Netlogon RPC autenticadas ou contacte o fornecedor de software para obter mais informações.
-
-
Se colocar DCs no Modo de Auditoria, monitorize para Security-Netlogon Evento 9016 para determinar que chamadas RPC seriam rejeitadas se ativasse o Modo de Imposição. Em seguida, efetue alterações de modo a que a aplicação esteja a utilizar chamadas RPC do Netlogon autenticadas ou contacte o fornecedor de software para obter mais informações.
Nota: Nos servidores windows 2008 SP2 e Windows 2008 R2, estes eventos serão vistos nos registos de eventos do Sistema como Eventos Netlogon 5844 e 5845, respetivamente, para o Modo de Imposição e Modo de Auditoria.
Temporização das atualizações do Windows
Estas atualizações do Windows foram lançadas em várias fases:
-
Alteração Inicial no Windows Server 2025 (13 de maio de 2025) – a atualização original que endureceu contra chamadas RPC não autenticadas baseadas em Netlogon foi incluída na Atualização de Segurança do Windows de maio de 2025 para Windows Server 2025.
-
Alterações Iniciais noutras Plataformas de Servidor (8 de julho de 2025) – as atualizações que proteceram contra chamadas RPC não autenticadas baseadas em Netlogon para outras plataformas de Servidor foram incluídas no Segurança do Windows Atualizações de julho de 2025.
-
Adição do Modo de Auditoria e modo desativado (12 de agosto de 2025) – a imposição por predefinição com uma opção para os modos Auditoria ou Desativado foi incluída no Segurança do Windows Atualizações de agosto de 2025.
-
Remoção do Modo de Auditoria e do Modo Desativado (TBD) – posteriormente, os modos Auditoria e Desativado podem ser removidos do SO. Este artigo será atualizado quando forem confirmados mais detalhes.
Orientações de implementação
Se implementar o Segurança do Windows Atualizações de agosto e quiser configurar os seus DCs no modo Auditoria ou Desativado, implemente a chave de registo abaixo com o valor adequado. Não é necessário reiniciar.
|
Caminho |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Valor do registo |
DCLocatorRPCSecurityPolicy |
|
Tipo de valor |
REG_DWORD |
|
Dados de valor |
0 - ModoDesativado 1 - Modo de Auditoria2 - Modo de Imposição (predefinição) |
Nota: Os pedidos não autenticados serão permitidos nos modos Auditoria e Desativado.
Eventos adicionados recentemente
A Segurança do Windows Atualizações de 12 de agosto de 2025 também adicionará novos registos de eventos no Windows Server 2012 através Windows Server controladores de domínio de 2022:
|
Registo de Eventos |
Microsoft-Windows-Security-Netlogon/Operational |
|
Tipo de Evento |
Informações |
|
ID de Evento |
9015 |
|
Texto do Evento |
O Netlogon negou uma chamada RPC. A política está no modo de imposição. Informações do Cliente: Nome do Método: %method% Opnum do método: %opnum% Endereço do cliente: <endereço IP> Identidade do cliente: <sid do autor da chamada> Para obter mais informações, veja https://aka.ms/dclocatorrpcpolicy. |
|
Registo de Eventos |
Microsoft-Windows-Security-Netlogon/Operational |
|
Tipo de Evento |
Informações |
|
ID de Evento |
9016 |
|
Texto do Evento |
O Netlogon permitiu uma chamada RPC que normalmente teria sido negada. A política está no modo de auditoria. Informações do Cliente: Nome do Método: %method% Opnum do método: %opnum% Endereço do cliente: <endereço IP> Identidade do cliente: <sid do autor da chamada> Para obter mais informações, veja https://aka.ms/dclocatorrpcpolicy. |
Nota: Nos servidores windows 2008 SP2 e Windows 2008 R2, estes eventos serão vistos nos registos de eventos do Sistema como Eventos Netlogon 5844 e 5845, respetivamente, para os modos de Imposição e Auditoria.
Perguntas mais frequentes (FAQ)
Os DCs que não são atualizados com a Segurança do Windows Atualizações de 8 de julho de 2025 ou posterior continuarão a permitir chamadas RPC não autenticadas baseadas em Netlogon & não registarão eventos relacionados com esta vulnerabilidade.
Os DCs atualizados com o Segurança do Windows Atualizações de 8 de julho de 2025 não permitirão chamadas RPC não autenticadas baseadas em Netlogon, mas não registarão um evento quando essa chamada for bloqueada.
Por predefinição, os DCs atualizados com a Segurança do Windows Atualizações de 12 de agosto de 2025 ou posterior não permitirão chamadas RPC não autenticadas baseadas em Netlogon e registarão um evento quando essa chamada for bloqueada.
Não.
