Data de publicare inițială: 13 august 2025
ID KB: 5066014
În acest articol:
Rezumat
CVE-2025-49716 tratează o vulnerabilitate Denial-of-Service, în care utilizatorii neautentuiți la distanță ar putea efectua o serie de apeluri de procedură la distanță bazate pe Netlogon (RPC), care consumă în cele din urmă toată memoria pe un controler de domeniu (DC). Pentru a atenua această vulnerabilitate, s-a efectuat o modificare de cod în actualizarea de Securitate Windows din mai 2025 pentru Windows Server 2025 și în Securitate Windows Actualizări din iulie 2025 pentru toate celelalte platforme server, de la Windows Server 2008SP2 la Windows Server 2022, inclusiv. Această actualizare include o modificare de consolidare a securității la protocolul Microsoft RPC Netlogon. Această modificare îmbunătățește securitatea prin înăsprirea verificărilor de acces pentru un set de solicitări de apel de procedură la distanță (RPC). După instalarea acestei actualizări, controlerele de domeniu Active Directory nu vor mai permite clienților anonimi să invoce unele solicitări RPC prin serverul RPC Netlogon. Aceste solicitări sunt de obicei legate de locația controlerului de domeniu.
După această modificare, unele fișiere & software-ul serviciului de imprimare pot fi afectate, inclusiv Samba. Samba a lansat o actualizare pentru a se potrivi cu această modificare. Vezi Samba 4.22.3 - Note privind versiunea pentru mai multe informații.
Pentru a face față scenariilor în care software-ul de la terți afectat nu poate fi actualizat, am lansat capacități suplimentare de configurare în actualizarea din august 2025 Securitate Windows. Această modificare implementează un comutator bazat pe cheia de registry între modul de impunere implicit, un Mod de auditare care va înregistra modificările, dar nu va bloca apelurile RPC Netlogon neautentificate și un Mod dezactivat (nerecomandat.)
Luați măsuri
Pentru a vă proteja mediul și a evita întreruperile, mai întâi actualizați toate dispozitivele care găzduiesc controlerul de domeniu Active Directory sau rolul de server LDS, instalând cele mai recente actualizări Windows. PC-urile care au8 iulie 2025 sau o versiune mai recentă Securitate Windows Actualizări (sau Windows Server 2025 de PC-uri cu actualizările din mai) sunt sigure în mod implicit și nu acceptă în mod implicit apeluri RPC neautenttate bazate pe Netlogon. PC-urile care au 12 august 2025 sau o versiune mai recentă Securitate Windows Actualizări nu acceptă apeluri RPC neautentificate bazate pe Netlogon în mod implicit, dar pot fi configurate să facă acest lucru temporar.
-
Monitorizați-vă mediul pentru probleme de acces. Dacă s-a întâlnit, confirmați dacă modificările de consolidare RPC Netlogon sunt cauza principală.
-
Dacă sunt instalate doar actualizările din iulie, activați înregistrarea în jurnal Netlogon detaliată utilizând comanda "Nltest.exe /dbflag:0x2080ffff", apoi monitorizați jurnalele rezultate pentru intrări similare cu linia următoare. Câmpurile OpNum și Method pot varia și reprezintă operațiunea și metoda RPC care au fost blocate:
06/23 10:50:39 [CRITIC] [5812] NlRpcSecurityCallback: respingerea unui apel RPC neautorizat de la [IPAddr] OpNum:34 Metodă:DsrGetDcNameEx2
-
Dacă sunt instalate actualizări Windows din august sau mai recente, căutați Security-Netlogon Eveniment 9015 pe PC-uri pentru a determina ce apeluri RPC sunt respinse. Dacă aceste apeluri sunt critice, puteți amplasa temporar DC în Modul de auditare sau Modul dezactivat în timp ce depanați.
-
Efectuați modificări astfel încât aplicația să utilizeze apeluri RPC Netlogon autentificate sau să contactați furnizorul software-ului pentru mai multe informații.
-
-
Dacă puneți PC-uri în modul de auditare, monitorizați Security-Netlogon eveniment 9016 pentru a determina ce apeluri RPC ar fi respinse dacă ați activat Modul impunere. Apoi efectuați modificări astfel încât aplicația să utilizeze apeluri RPC Netlogon autentificate sau să contactați furnizorul software-ului pentru mai multe informații.
Notă: Pe serverele Windows 2008 SP2 și Windows 2008 R2, aceste evenimente vor fi văzute în jurnalele de evenimente de sistem ca Evenimente Netlogon 5844 și, respectiv, 5845 pentru modul impunere și modul auditare.
Temporizarea actualizărilor Windows
Aceste actualizări Windows au fost lansate în mai multe faze:
-
Modificarea inițială din Windows Server 2025 (13 mai 2025) - actualizarea inițială care s-a impus împotriva apelurilor RPC neautentificate bazate pe Netlogon a fost inclusă în actualizarea de Securitate Windows din mai 2025 pentru Windows Server 2025.
-
Modificările inițiale pe alte platforme server (8 iulie 2025) – actualizările care au fost aplicate apelurilor RPC neautentificate bazate pe Netlogon pentru alte platforme server au fost incluse în Securitate Windows Actualizări din iulie 2025.
-
Adăugarea modului de auditare și a modului dezactivat (12 august 2025) – Impunerea implicită cu o opțiune pentru modurile Audit sau Dezactivat a fost inclusă în Securitate Windows Actualizări din august 2025.
-
Eliminarea modului de auditare și a modului dezactivat (TBD) – La o dată ulterioară, modurile Audit și Dezactivat pot fi eliminate din sistemul de operare. Acest articol va fi actualizat atunci când se confirmă detalii suplimentare.
Instrucțiuni de implementare
Dacă implementați Securitate Windows Actualizări din august și doriți să configurați PC-urile în modul Audit sau Dezactivat, implementați cheia de registry de mai jos cu valoarea corespunzătoare. Nu este necesară repornirea.
|
Drum |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Valoare registry |
DCLocatorRPCSecurityPolicy |
|
Tip valoare |
REG_DWORD |
|
Date valoare |
0 - Modul dezactivat1 - Modul deauditare 2 - Modul impunere (implicit) |
Notă: Solicitările neautentticate vor fi permise în modurile Audit și Dezactivat.
Evenimente nou adăugate
De asemenea, Securitate Windows Actualizări din 12 august 2025 va adăuga jurnale de evenimente noi pe Windows Server 2012 prin controlerele de domeniu Windows Server 2022:
|
Jurnal de evenimente |
Microsoft-Windows-Security-Netlogon/Operațional |
|
Tip eveniment |
Informații |
|
ID eveniment |
9015 |
|
Text eveniment |
Netlogon a refuzat un apel RPC. Politica este în modul de impunere. Informații client: Nume metodă: %method% Opnum metodă: %opnum% Adresă client: <adresa IP> Identitate client:> SID apelant < Pentru mai multe informații, consultați https://aka.ms/dclocatorrpcpolicy. |
|
Jurnal de evenimente |
Microsoft-Windows-Security-Netlogon/Operațional |
|
Tip eveniment |
Informații |
|
ID eveniment |
9016 |
|
Text eveniment |
Netlogon a permis un apel RPC care în mod normal ar fi fost refuzat. Politica este în modul de auditare. Informații client: Nume metodă: %method% Opnum metodă: %opnum% Adresă client: <adresa IP> Identitate client:> SID apelant < Pentru mai multe informații, consultați https://aka.ms/dclocatorrpcpolicy. |
Notă: Pe serverele Windows 2008 SP2 și Windows 2008 R2, aceste evenimente vor fi văzute în jurnalele de evenimente de sistem ca Evenimente Netlogon 5844, respectiv 5845, pentru modurile Impunere și Audit.
Întrebări frecvente (Întrebări frecvente)
PC-urile care nu sunt actualizate cu Securitate Windows Actualizări din 8 iulie 2025 sau ulterior vor permite în continuare apeluri RPC neautenttate bazate pe Netlogon & nu vor înregistra în jurnal evenimente legate de această vulnerabilitate.
PC-urile care sunt actualizate cu Securitate Windows Actualizări din 8 iulie 2025 nu vor permite apeluri RPC neautentificate bazate pe Netlogon, dar nu vor înregistra în jurnal un eveniment atunci când un astfel de apel este blocat.
În mod implicit, PC-urile care sunt actualizate cu Securitate Windows Actualizări 12 august 2025 sau o versiune mai recentă nu vor permite apeluri RPC neautentificate bazate pe Netlogon și vor înregistra în jurnal un eveniment atunci când un astfel de apel este blocat.
Nu.
