วันที่เผยแพร่ต้นฉบับ: วันที่ 13 สิงหาคม 2568
KB ID: 5066014
ในบทความนี้:
บทสรุป
CVE-2025-49716 แก้ไขปัญหาช่องโหว่ Denial of-Service ที่ผู้ใช้ที่ไม่ได้รับรองความถูกต้องระยะไกลสามารถทําให้ชุดของการเรียกกระบวนการระยะไกล (RPC) ที่ใช้ Netlogon ใช้หน่วยความจําทั้งหมดบนตัวควบคุมโดเมน (DC) ในที่สุด เพื่อลดช่องโหว่นี้ การเปลี่ยนแปลงรหัสถูกทําในการอัปเดตความปลอดภัยของ Windows เดือนพฤษภาคม 2025 สําหรับ Windows Server 2025 และความปลอดภัยของ Windows Updates ของเดือนกรกฎาคม 2025 สําหรับแพลตฟอร์ม Server อื่นๆ ทั้งหมดตั้งแต่ Windows Server 2008SP2 เป็น Windows Server 2022 ครอบคลุม การอัปเดตนี้รวมถึงการเปลี่ยนแปลงการเพิ่มความปลอดภัยให้กับโพรโทคอล Microsoft RPC Netlogon การเปลี่ยนแปลงนี้ปรับปรุงความปลอดภัยโดยการกระชับการตรวจสอบการเข้าถึงสําหรับชุดการร้องขอการเรียกกระบวนการระยะไกล (RPC) หลังจากติดตั้งการอัปเดตนี้ ตัวควบคุมโดเมน Active Directory จะไม่อนุญาตให้ไคลเอ็นต์ที่ไม่ระบุชื่อเรียกคําขอ RPC บางอย่างผ่านทางเซิร์ฟเวอร์ Netlogon RPC อีกต่อไป คําขอเหล่านี้มักจะเกี่ยวข้องกับตําแหน่งตัวควบคุมโดเมน
หลังจากการเปลี่ยนแปลงนี้ ไฟล์บางไฟล์ & ซอฟต์แวร์บริการการพิมพ์อาจได้รับผลกระทบ รวมถึง Samba แซมบ้าได้ออกการปรับปรุงเพื่อรองรับการเปลี่ยนแปลงนี้ ดู Samba 4.22.3 - บันทึกย่อประจํารุ่น สําหรับข้อมูลเพิ่มเติม
เพื่อรองรับสถานการณ์ที่ไม่สามารถอัปเดตซอฟต์แวร์ของบริษัทอื่นที่ได้รับผลกระทบ เราได้เผยแพร่ความสามารถในการกําหนดค่าเพิ่มเติมในการอัปเดตความปลอดภัยของ Windows สิงหาคม 2025 การเปลี่ยนแปลงนี้ใช้การสลับตามรีจิสทรีคีย์ระหว่างโหมดการบังคับใช้เริ่มต้น โหมดการตรวจสอบที่จะบันทึกการเปลี่ยนแปลง แต่จะไม่บล็อกการเรียก Netlogon RPC ที่ไม่ได้รับรองความถูกต้อง และโหมดปิดใช้งาน (ไม่แนะนํา)
ดําเนินการ
เมื่อต้องการป้องกันสภาพแวดล้อมของคุณและหลีกเลี่ยงการหยุดทํางาน ก่อนอื่นให้อัปเดตอุปกรณ์ทั้งหมดที่โฮสต์ตัวควบคุมโดเมน Active Directory หรือบทบาท LDS Server ด้วยการติดตั้งการอัปเดต Windows ล่าสุด DC ที่มีความปลอดภัยของ Windows Updates วันที่ 8 กรกฎาคม 2025 หรือใหม่กว่า (หรือ Windows Server 2025 DC ที่มีการอัปเดตประจําเดือนพฤษภาคม) มีความปลอดภัยตามค่าเริ่มต้น และไม่ยอมรับการเรียก RPC แบบ Netlogon ที่ไม่ได้รับรองความถูกต้องตามค่าเริ่มต้น DC ที่มีวันที่ 12 สิงหาคม 2025 หรือใหม่กว่าความปลอดภัยของ Windows Updates ไม่ยอมรับการเรียก RPC แบบ Netlogon ที่ไม่ได้รับรองความถูกต้องตามค่าเริ่มต้น แต่สามารถกําหนดค่าให้ดําเนินการดังกล่าวชั่วคราวได้
-
ตรวจสอบสภาพแวดล้อมของคุณสําหรับปัญหาการเข้าถึง หากพบ ให้ยืนยันว่าการเปลี่ยนแปลงการชุบแข็ง Netlogon RPC เป็นสาเหตุหลักหรือไม่
-
หากมีการติดตั้งการอัปเดตเฉพาะเดือนกรกฎาคม ให้เปิดใช้งานการบันทึก verbose Netlogon โดยใช้คําสั่ง "Nltest.exe /dbflag:0x2080ffff" แล้วตรวจสอบบันทึกผลลัพธ์สําหรับรายการที่คล้ายกับบรรทัดต่อไปนี้ เขตข้อมูล OpNum และ Method อาจแตกต่างกัน และแสดงถึงการดําเนินการและวิธีการ RPC ที่ถูกบล็อก:
06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: ปฏิเสธการเรียก RPC ที่ไม่ได้รับอนุญาตจาก [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
หากมีการติดตั้งการอัปเดต Windows เดือนสิงหาคมหรือใหม่กว่า ให้ค้นหา Security-Netlogon Event 9015 บน DC ของคุณเพื่อตรวจสอบว่าการเรียก RPC ใดถูกปฏิเสธ ถ้าการเรียกเหล่านี้มีความสําคัญ คุณสามารถตั้ง DC ในโหมดตรวจสอบหรือโหมดปิดใช้งานไว้ชั่วคราวขณะที่คุณแก้ไขปัญหาได้
-
ทําการเปลี่ยนแปลงเพื่อให้แอปใช้การโทร Netlogon RPC ที่ได้รับการรับรองความถูกต้อง หรือติดต่อผู้จัดจําหน่ายซอฟต์แวร์ของคุณเพื่อขอข้อมูลเพิ่มเติม
-
-
หากคุณวาง DC ในโหมดตรวจสอบ ตรวจสอบ Security-Netlogon Event 9016 เพื่อกําหนดว่าจะปฏิเสธการเรียก RPC ใดหากคุณเปิดโหมดการบังคับใช้ จากนั้นทําการเปลี่ยนแปลงเช่นว่าแอปกําลังใช้การโทร Netlogon RPC ที่ได้รับการรับรองความถูกต้องหรือติดต่อผู้จัดจําหน่ายซอฟต์แวร์ของคุณสําหรับข้อมูลเพิ่มเติม
หมายเหตุ: ในเซิร์ฟเวอร์ Windows 2008 SP2 และ Windows 2008 R2 เหตุการณ์เหล่านี้จะเห็นได้ในบันทึกเหตุการณ์ของระบบเป็นเหตุการณ์ Netlogon 5844 และ 5845 ตามลําดับสําหรับโหมดการบังคับใช้และโหมดตรวจสอบ
การกําหนดเวลาของการอัปเดต Windows
การอัปเดต Windows เหล่านี้ได้รับการเผยแพร่ในหลายระยะ:
-
การเปลี่ยนแปลงเริ่มต้นเมื่อ Windows Server 2025 (13 พฤษภาคม 2025) – การอัปเดตเดิมที่แข็งค่าเมื่อการเรียก RPC แบบ Netlogon ที่ไม่ได้รับรองความถูกต้องรวมอยู่ในการอัปเดต RPC ของเดือนพฤษภาคม 2025 ความปลอดภัยของ Windows สําหรับ Windows Server 2025
-
การเปลี่ยนแปลงเริ่มต้นบนแพลตฟอร์มเซิร์ฟเวอร์อื่นๆ (8 กรกฎาคม 2025) – การอัปเดตที่เข้มงวดกับการเรียก RPC แบบ Netlogon ที่ไม่ได้รับรองความถูกต้องสําหรับแพลตฟอร์มเซิร์ฟเวอร์อื่นๆ ถูกรวมอยู่ในความปลอดภัยของ Windows Updates ประจําเดือนกรกฎาคม 2025
-
การเพิ่มโหมดการตรวจสอบและโหมดปิดใช้งาน (12 สิงหาคม 2025) – การบังคับใช้ตามค่าเริ่มต้นที่มีตัวเลือกสําหรับโหมดตรวจสอบหรือโหมดปิดใช้งานรวมอยู่ในความปลอดภัยของ Windows Updates เดือนสิงหาคม 2025
-
การลบโหมดตรวจสอบและโหมดปิดใช้งาน (TBD) – ในภายหลัง โหมดตรวจสอบและปิดใช้งานอาจถูกลบออกจากระบบปฏิบัติการ บทความนี้จะได้รับการอัปเดตเมื่อยืนยันรายละเอียดเพิ่มเติม
คําแนะนําในการปรับใช้
ถ้าคุณปรับใช้ความปลอดภัยของ Windows Updates ประจําเดือนสิงหาคมและต้องการกําหนดค่า DCs ของคุณในโหมดตรวจสอบหรือปิดใช้งาน ให้ปรับใช้รีจิสทรีคีย์ด้านล่างด้วยค่าที่เหมาะสม ไม่จําเป็นต้องเริ่มระบบใหม่
|
ทาง |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
ค่ารีจิสทรี |
DCLocatorRPCSecurityPolicy |
|
ชนิดของค่า |
REG_DWORD |
|
ข้อมูลค่า |
0 - โหมดปิดใช้งาน1 - โหมดตรวจสอบ2 - โหมดการบังคับใช้ (ค่าเริ่มต้น) |
หมายเหตุ: การร้องขอที่ไม่ได้รับการรับรองความถูกต้องจะได้รับอนุญาตทั้งในโหมดตรวจสอบและโหมดปิดใช้งาน
เหตุการณ์ที่เพิ่มใหม่
ความปลอดภัยของ Windows Updates ของวันที่ 12 สิงหาคม 2025 จะเพิ่มบันทึกเหตุการณ์ใหม่ใน Windows Server 2012 ผ่านตัวควบคุมโดเมน Windows Server 2022:
|
บันทึกเหตุการณ์ |
Microsoft-Windows-Security-Netlogon/Operational |
|
ชนิดเหตุการณ์ |
ข้อมูล |
|
ID เหตุการณ์ |
9015 |
|
ข้อความเหตุการณ์ |
Netlogon ปฏิเสธการเรียก RPC นโยบายอยู่ในโหมดบังคับใช้ ข้อมูลลูกค้า: ชื่อวิธีการ: %วิธีการ% วิธีการ opnum: %opnum% ที่อยู่ไคลเอ็นต์:>ที่อยู่ IP < ข้อมูลเฉพาะตัวของไคลเอ็นต์:> SID ของผู้เรียก < สําหรับข้อมูลเพิ่มเติม ให้ดูที่ https://aka.ms/dclocatorrpcpolicy |
|
บันทึกเหตุการณ์ |
Microsoft-Windows-Security-Netlogon/Operational |
|
ชนิดเหตุการณ์ |
ข้อมูล |
|
ID เหตุการณ์ |
9016 |
|
ข้อความเหตุการณ์ |
Netlogon อนุญาตการเรียก RPC ที่โดยปกติจะถูกปฏิเสธ นโยบายอยู่ในโหมดตรวจสอบ ข้อมูลลูกค้า: ชื่อวิธีการ: %วิธีการ% วิธีการ opnum: %opnum% ที่อยู่ไคลเอ็นต์:>ที่อยู่ IP < ข้อมูลเฉพาะตัวของไคลเอ็นต์:> SID ของผู้เรียก < สําหรับข้อมูลเพิ่มเติม ให้ดูที่ https://aka.ms/dclocatorrpcpolicy |
หมายเหตุ: ในเซิร์ฟเวอร์ Windows 2008 SP2 และ Windows 2008 R2 เหตุการณ์เหล่านี้จะเห็นได้ในบันทึกเหตุการณ์ของระบบเป็นเหตุการณ์ Netlogon 5844 และ 5845 ตามลําดับสําหรับโหมดการบังคับใช้และการตรวจสอบ
คําถามที่ถามบ่อย (คําถามที่ถามบ่อย)
DC ที่ไม่ได้ปรับปรุงด้วยความปลอดภัยของ Windows Updates ของวันที่ 8 กรกฎาคม 2025 หรือใหม่กว่า จะยังคงอนุญาตการเรียก RPC แบบ Netlogon ที่ไม่ได้รับรองความถูกต้อง & จะไม่บันทึกเหตุการณ์ที่เกี่ยวข้องกับช่องโหว่นี้
DC ที่ได้รับการอัปเดตด้วยความปลอดภัยของ Windows Updates ของวันที่ 8 กรกฎาคม 2025 จะไม่อนุญาตให้มีการเรียก RPC แบบ Netlogon ที่ไม่ได้รับรองความถูกต้อง แต่จะไม่บันทึกเหตุการณ์เมื่อการโทรดังกล่าวถูกบล็อก
ตามค่าเริ่มต้น DC ที่ได้รับการอัปเดตด้วยความปลอดภัยของ Windows Updates ของวันที่ 12 สิงหาคม 2025 หรือใหม่กว่าจะไม่อนุญาตให้มีการโทร RPC แบบ Netlogon ที่ไม่ได้รับรองความถูกต้อง และจะบันทึกเหตุการณ์เมื่อการโทรดังกล่าวถูกบล็อก
ไม่ได้
