Ngày phát hành ban đầu: Ngày 13 tháng 8 năm 2025
KB ID: 5066014
Trong bài viết này:
Tóm tắt
CVE-2025-49716 khắc phục lỗ hổng Từ chối Dịch vụ trong đó người dùng không xác thực từ xa có thể thực hiện một loạt Cuộc gọi Thủ tục Từ xa dựa trên Netlogon (RPC) mà cuối cùng tiêu thụ tất cả bộ nhớ trên Bộ kiểm soát Miền (DC). Để giảm thiểu lỗ hổng này, một thay đổi mã đã được thực hiện trong Bản cập nhật Bảo mật Windows tháng 5 năm 2025 cho Windows Server 2025 và Bảo mật Windows Cập nhật tháng 7 năm 2025 cho tất cả các nền tảng Máy chủ khác từ Windows Server 2008SP2 đến Windows Server năm 2022, bao gồm cả hai. Bản cập nhật này bao gồm một sự thay đổi c cố định bảo mật cho giao thức Microsoft RPC Netlogon. Thay đổi này cải thiện khả năng bảo mật bằng cách thắt chặt kiểm tra truy nhập đối với tập hợp các yêu cầu gọi thủ tục từ xa (RPC). Sau khi cài đặt bản cập nhật này, bộ kiểm soát miền Active Directory sẽ không còn cho phép máy khách ẩn danh gọi một số yêu cầu RPC thông qua máy chủ Netlogon RPC. Các yêu cầu này thường liên quan đến vị trí bộ kiểm soát miền.
Sau thay đổi này, một số tệp & phần mềm dịch vụ in có thể bị ảnh hưởng, bao gồm cả Samba. Samba đã phát hành một bản cập nhật để điều chỉnh thay đổi này. Xem Samba 4.22.3 - Ghi chú Phát hành để biết thêm thông tin.
Để phù hợp với các trường hợp không thể cập nhật phần mềm bên thứ ba bị ảnh hưởng, chúng tôi đã phát hành tính năng cấu hình bổ sung trong Bản cập nhật Bảo mật Windows tháng 8 năm 2025. Thay đổi này thực hiện chuyển đổi dựa trên khóa đăng ký giữa Chế độ Thực thi mặc định, Chế độ Kiểm tra sẽ ghi nhật ký thay đổi nhưng sẽ không chặn cuộc gọi Netlogon RPC không xác thực và Chế độ Vô hiệu hóa (không được khuyến nghị.)
Thực hiện hành động
Để bảo vệ môi trường của bạn và tránh sự cố, trước tiên hãy cập nhật tất cả các thiết bị lưu trữ vai trò bộ kiểm soát miền Active Directory hoặc Máy chủ LDS bằng cách cài đặt các bản cập nhật Windows mới nhất. CÁC PC có DCS có ngày 8 tháng 7 năm 2025 trở lên Bảo mật Windows Cập nhật (hoặc DCS Windows Server 2025 có bản cập nhật tháng 5) được bảo mật theo mặc định và không chấp nhận cuộc gọi RPC dựa trên Netlogon không xác thực theo mặc định. Các PC có ngày 12 tháng 8 năm 2025 trở lên Bảo mật Windows Cập nhật không chấp nhận cuộc gọi RPC dựa trên Netlogon chưa xác thực theo mặc định, nhưng có thể được cấu hình để thực hiện tạm thời.
-
Giám sát môi trường của bạn để phát hiện sự cố truy nhập. Nếu gặp phải, xác nhận nếu các thay đổi cứng Netlogon RPC là nguyên nhân gốc.
-
Nếu chỉ có bản cập nhật tháng 7 được cài đặt, cho phép ghi nhật ký Netlogon quá mức bằng cách sử dụng lệnh "Nltest.exe /dbflag:0x2080ffff" và sau đó theo dõi các bản ghi kết quả cho các mục nhập tương tự như dòng sau đây. Các trường OpNumvà Phương pháp có thể khác nhau và đại diện cho thao tác và phương pháp RPC đã bị chặn:
23/06/10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: từ chối cuộc gọi RPC trái phép từ [IPAddr] OpNum:34 Method:DsrGetDcNameEx2
-
Nếu các bản cập nhật Windows tháng 8 hoặc mới hơn được cài đặt, hãy tìm Sự kiện Security-Netlogon 9015 trên PC của bạn để xác định cuộc gọi RPC nào sẽ bị từ chối. Nếu các cuộc gọi này rất quan trọng, bạn có thể tạm thời đặt DC trong Chế độ Kiểm tra hoặc Chế độ Tắt trong khi khắc phục sự cố.
-
Thực hiện thay đổi sao cho ứng dụng đang sử dụng cuộc gọi Netlogon RPC đã xác thực hoặc liên hệ với nhà cung cấp phần mềm của bạn để biết thêm thông tin.
-
-
Nếu bạn đặt các DCs trong Chế độ Kiểm tra, hãy theo dõi Sự kiện Security-Netlogon 9016 để xác định cuộc gọi RPC nào sẽ bị từ chối nếu bạn bật Chế độ Thực thi. Sau đó thực hiện thay đổi sao cho ứng dụng đang sử dụng cuộc gọi RPC Netlogon xác thực hoặc liên hệ với nhà cung cấp phần mềm của bạn để biết thêm thông tin.
Lưu ý: Trên các máy chủ Windows 2008 SP2 và Windows 2008 R2, các sự kiện này sẽ được hiển thị lần lượt trong nhật ký sự kiện Hệ thống dưới dạng Sự kiện Netlogon 5844 và 5845 cho Chế độ Thực thi và Chế độ Kiểm tra.
Thời gian cập nhật Windows
Các bản cập nhật Windows này được phát hành theo một số giai đoạn:
-
Thay đổi ban đầu vào ngày Windows Server 2025 (ngày 13 tháng 5 năm 2025) – Bản cập nhật ban đầu cứng lại với các cuộc gọi RPC dựa trên Netlogon không xác thực đã được bao gồm trong Bản cập nhật Bảo mật Windows tháng 5 năm 2025 cho Windows Server 2025.
-
Các thay đổi ban đầu trên nền tảng máy chủ khác (ngày 8 tháng 7 năm 2025) – Các bản cập nhật khó khăn đối với các cuộc gọi RPC dựa trên Netlogon không xác thực cho các nền tảng Máy chủ khác đã được bao gồm trong bản dựng tháng 7 năm 2025 Bảo mật Windows Cập nhật.
-
Thêm Chế độ Kiểm tra và Chế độ Vô hiệu hóa (ngày 12 tháng 8 năm 2025) – Theo mặc định, tùy chọn cho chế độ Kiểm tra hoặc Tắt đã được bao gồm trong bản dựng tháng 8 năm 2025 Bảo mật Windows Cập nhật.
-
Xóa Chế độ Kiểm tra và Chế độ Vô hiệu hóa (TBD) – Sau đó, các chế độ Kiểm tra và Tắt có thể bị xóa khỏi HĐH. Bài viết này sẽ được cập nhật khi có thêm thông tin chi tiết được xác nhận.
Hướng dẫn triển khai
Nếu bạn triển khai gói đăng ký tháng Bảo mật Windows Cập nhật và muốn đặt cấu hình DCS của bạn vào chế độ Kiểm tra hoặc Vô hiệu hóa, hãy triển khai khóa đăng ký bên dưới với giá trị thích hợp. Không cần khởi động lại.
|
Con đường |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Giá trị sổ đăng ký |
DCLocatorRPCSecurityPolicy |
|
Kiểu giá trị |
REG_DWORD |
|
Dữ liệu giá trị |
0 - Chế độ Vô hiệu hóa1 - Chế độ Kiểm tra2 - Chế độ Thực thi (mặc định) |
Lưu ý: Yêu cầu không xác thực sẽ được cho phép trong cả chế độ Kiểm tra và Vô hiệu hóa.
Sự kiện mới thêm
Các ngày 12 tháng 8 năm 2025 Bảo mật Windows Cập nhật cũng sẽ thêm các bản ghi sự kiện mới trên Windows Server 2012 thông qua bộ kiểm soát miền Windows Server 2022:
|
Nhật ký Sự kiện |
Microsoft-Windows-Security-Netlogon/Vận hành |
|
Loại Sự kiện |
Thông tin |
|
ID Sự kiện |
9015 |
|
Văn bản Sự kiện |
Netlogon đã từ chối cuộc gọi RPC. Chính sách đang ở chế độ thực thi. Thông tin Máy khách: Tên Phương pháp: %method% Phương pháp opnum: %opnum% Địa chỉ máy khách: <chỉ IP của> Danh tính máy khách: <caller SID> Để biết thêm thông tin, hãy https://aka.ms/dclocatorrpcpolicy. |
|
Nhật ký Sự kiện |
Microsoft-Windows-Security-Netlogon/Vận hành |
|
Loại Sự kiện |
Thông tin |
|
ID Sự kiện |
9016 |
|
Văn bản Sự kiện |
Netlogon cho phép một cuộc gọi RPC mà bình thường sẽ bị từ chối. Chính sách này đang ở chế độ kiểm tra. Thông tin Máy khách: Tên Phương pháp: %method% Phương pháp opnum: %opnum% Địa chỉ máy khách: <chỉ IP của> Danh tính máy khách: <caller SID> Để biết thêm thông tin, hãy https://aka.ms/dclocatorrpcpolicy. |
Lưu ý: Trên các máy chủ Windows 2008 SP2 và Windows 2008 R2, các sự kiện này sẽ được xem lần lượt trong nhật ký sự kiện Hệ thống dưới dạng Sự kiện Netlogon 5844 và 5845 tương ứng đối với chế độ Thực thi và Kiểm tra.
Câu hỏi thường gặp (Câu hỏi thường gặp)
Các DCs không được cập nhật với ngày 8 tháng 7 năm 2025 Bảo mật Windows Cập nhật, hoặc mới hơn, sẽ vẫn cho phép các cuộc gọi RPC dựa trên Netlogon không xác thực & sẽ không ghi nhật ký các sự kiện liên quan đến lỗ hổng này.
Các PC được cập nhật ngày 8 tháng 7 năm 2025 Bảo mật Windows Cập nhật sẽ không cho phép cuộc gọi RPC dựa trên Netlogon không xác thực, nhưng sẽ không ghi nhật ký sự kiện khi cuộc gọi đó bị chặn.
Theo mặc định, các PC được cập nhật ngày 12 tháng 8 năm 2025 Bảo mật Windows Cập nhật hoặc mới hơn sẽ không cho phép cuộc gọi RPC dựa trên Netlogon không xác thực và sẽ ghi nhật ký sự kiện khi cuộc gọi đó bị chặn.
Không.
