Pôvodný dátum publikovania: 13. augusta 2025
IDENTIFIKÁCIA DATABÁZY KB: 5066014
V tomto článku:
Zhrnutie
CVE-2025-49716 sa zaoberá zraniteľnosťou denial-of-service, kde vzdialení neoverení používatelia mohli vykonať sériu vzdialených volania procedúr založených na Netlogon (RPC), ktoré nakoniec spotrebúvajú všetku pamäť na radiči domény (DC). Na zmiernenie tohto nedostatočného rizika sa v aktualizácii Windows Zabezpečenie z mája 2025 pre Windows Server 2025 a Windows Zabezpečenie Aktualizácie z júla 2025 pre všetky ostatné serverové platformy z Windows Server 2008SP2 do Windows Server 2022 vrátane. Táto aktualizácia obsahuje zmenu zabezpečenia v protokole Microsoft RPC Netlogon. Táto zmena zvyšuje zabezpečenie sprísnením kontrol prístupu pre množinu žiadostí o vzdialené volanie procedúr (RPC). Po nainštalovaní tejto aktualizácie už radiče domény služby Active Directory neumožňujú anonymným klientom vyvolať niektoré požiadavky RPC prostredníctvom servera Netlogon RPC. Tieto požiadavky zvyčajne súvisia s umiestnením radiča domény.
Po tejto zmene môžu byť ovplyvnené niektoré súbory & softvér tlačovej služby, vrátane Samba. Samba vydala aktualizáciu, aby sa prispôsobila tejto zmene. Pozri Samba 4.22.3 - Poznámky k vydaniu pre viac informácií.
Na prispôsobenie scenárov, v ktorých sa nedá aktualizovať softvér tretích strán, sme vydali ďalšie možnosti konfigurácie v aktualizácii Windows Zabezpečenie z augusta 2025. Táto zmena implementuje prepínač založený na kľúčoch databázy Registry medzi predvoleným režimom presadzovania, režimom auditu, ktorý zaznamená zmeny, ale nezablokuje neoverené volania netlogon RPC a režim vypnutia (neodporúča sa.)
Vykonanie akcie
Ak chcete chrániť svoje prostredie a vyhnúť sa výpadkom, najprv aktualizujte všetky zariadenia, ktoré hosťujú radič domény služby Active Directory alebo rolu servera LDS, nainštalovaním najnovších aktualizácií Windowsu. DCs, ktoré majú 8. júla 2025 alebo novšie Windows Zabezpečenie Aktualizácie (alebo Windows Server 2025 DCS s májovými aktualizáciami) sú predvolene zabezpečené a predvolene neprijímajú neoverené volania RPC založené na netlogone. DCs, ktoré majú 12.srpna 2025 alebo novšie Windows Zabezpečenie Aktualizácie neprijímajú neoverené netlogon-založené RPC volania predvolene, ale môže byť nakonfigurovaný tak dočasne.
-
Monitorujte svoje prostredie a získajte problémy s prístupom. Ak sa vyskytne, potvrďte, či hlavným dôvodom sú zmeny stvrdnutia netlogon RPC.
-
Ak sú nainštalované len júlové aktualizácie, povoľte podrobné zapisovanie netlogon do denníka pomocou príkazu "Nltest.exe /dbflag:0x2080ffff" a potom sledujte výsledné denníky pre položky, ktoré pripomínajú nasledujúci riadok. Polia OpNum a Method sa môžu líšiť a predstavujú operáciu a metódu RPC, ktorá bola zablokovaná:
06/23 10:50:39 [KRITICKÉ] [5812] NlRpcSecurityCallback: odmietnutie neoprávneného volania RPC z [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
Ak sú nainštalované augustové alebo novšie aktualizácie Windowsu, vyhľadajte v DCS udalosť Security-Netlogon 9015 a zistite, ktoré volania RPC sa zamietajú. Ak sú tieto volania kritické, môžete počas riešenia problémov dočasne umiestniť jednosmerný prúd do režimu auditu alebo režim vypnutia.
-
Vykonajte zmeny tak, aby aplikácia používala overené volania RPC služby Netlogon, alebo sa obráťte na dodávateľa softvéru a požiadajte ho o ďalšie informácie.
-
-
Ak dáte DCs v režime auditu, monitor pre Security-Netlogon udalosť 9016 určiť, aké volania RPC budú zamietnuté, ak ste zapli režim presadzovania. Potom vykonajte zmeny tak, aby aplikácia používala overené volania netlogon RPC, alebo sa obráťte na dodávateľa softvéru a požiadajte ho o ďalšie informácie.
Poznámka: Na serveroch Windows 2008 SP2 a Windows 2008 R2 sa tieto udalosti zobrazia v denníkoch udalostí systému ako udalosti Netlogon 5844 a 5845 pre režim vynútenia a režim auditu.
Časovanie aktualizácií Windowsu
Tieto aktualizácie Windowsu boli vydané v niekoľkých fázach:
-
Počiatočná zmena Windows Server 2025 (13. mája 2025) – Pôvodná aktualizácia, ktorá bola zatvrdená proti neovereným volaniam RPC založeným na netlogone, bola zahrnutá v aktualizácii Windows Zabezpečenie z mája 2025 pre Windows Server 2025.
-
Počiatočné zmeny na iných serverových platformách (8. júla 2025) – aktualizácie, ktoré sa zakročili proti neovereným volaniam RPC založeným na službe Netlogon pre iné serverové platformy, boli zahrnuté v Windows Zabezpečenie Aktualizácie júla 2025.
-
Pridanie režimu auditu a režimu vypnutia (12. augusta 2025) – v Windows Zabezpečenie Aktualizácie augusta 2025 sa predvolene zahrnulo presadzovanie s možnosťou režimu auditu alebo režimu vypnutia.
-
Odstránenie režimu auditu a režimu vypnutia (TBD) – neskôr je možné z operačného systému odstrániť režim auditu a režim vypnutia. Tento článok sa aktualizuje po potvrdení ďalších podrobností.
Sprievodný materiál k nasadeniu
Ak nasadíte augustový Windows Zabezpečenie Aktualizácie a chcete nakonfigurovať svoje DCs do režimu auditovania alebo vypnutia, nasaďte nižšie uvedený kľúč databázy Registry s príslušnou hodnotou. Nevyžaduje sa reštartovanie.
|
Cestička |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Hodnota databázy Registry |
DCLocatorRPCSecurityPolicy |
|
Typ hodnoty |
REG_DWORD |
|
Údaje hodnôt |
0 – Režim vypnutia1 – Režim auditu2 – Režim vynútenia (predvolený) |
Poznámka: Neoverené požiadavky budú povolené v režime auditu aj v režime vypnutia.
Novo pridané udalosti
Windows Zabezpečenie Aktualizácie 12. augusta 2025 pridá aj nové denníky udalostí Windows Server 2012 prostredníctvom radičov domény Windows Server 2022:
|
Denník udalostí |
Microsoft-Windows-Security-Netlogon/Prevádzkové |
|
Typ udalosti |
Informácie |
|
Identifikačné číslo udalosti |
9015 |
|
Text udalosti |
Netlogon odmietol volanie RPC. Politika je v režime vynútenia. Informácie o klientovi: Názov metódy: %method% Opnum metódy: %opnum% Adresa klienta: <IP adresa> Identita klienta: <identifikátor SID volajúceho> Ďalšie informácie nájdete v téme https://aka.ms/dclocatorrpcpolicy. |
|
Denník udalostí |
Microsoft-Windows-Security-Netlogon/Prevádzkové |
|
Typ udalosti |
Informácie |
|
Identifikačné číslo udalosti |
9016 |
|
Text udalosti |
Netlogon povolil volanie RPC, ktoré by za normálnych okolností bolo odmietnuté. Politika je v režime auditu. Informácie o klientovi: Názov metódy: %method% Opnum metódy: %opnum% Adresa klienta: <IP adresa> Identita klienta: <identifikátor SID volajúceho> Ďalšie informácie nájdete v téme https://aka.ms/dclocatorrpcpolicy. |
Poznámka: Na serveroch Windows 2008 SP2 a Windows 2008 R2 sa tieto udalosti zobrazia v denníkoch udalostí systému ako Udalosti Netlogon 5844 a 5845 pre režimy vynútenia a auditu.
Najčastejšie otázky
DCs, ktoré nie sú aktualizované 8.července 2025 Windows Zabezpečenie Aktualizácie, alebo novšie, bude aj naďalej povoliť neoverené Netlogon založené RPC volania & nebude zapisovať udalosti súvisiace s touto zraniteľnosťou.
DCs, ktoré sú aktualizované 8.července 2025 Windows Zabezpečenie Aktualizácie neumožní neoverené Netlogon-založené RPC volania, ale nebude zapisovať udalosť, keď je takéto volanie zablokované.
V predvolenom nastavení nepovoľujú DCs aktualizované Windows Zabezpečenie Aktualizácie 12. augusta 2025 alebo novšou verziou neoverené volania RPC založené na netlogone a zaznamenajú udalosť, keď je takéto volanie zablokované.
Nie.
