火绒安全软件

新闻资讯区
发新帖
打印 上一主题 下一主题

[安全资讯] 微软Windows SPNEGO NEGOEX协议曝高危远程代码执行漏洞(CVE-2025-47981)

[复制链接]
351 1
楼主
发表于 前天 11:35 来自手机 | 只看该作者 |倒序浏览 |阅读模式
跳转到指定楼层
2025年7月9日,微软官方确认Windows操作系统SPNEGO扩展协商(NEGOEX)机制存在高危堆缓冲区溢出漏洞(CVE-2025-47981),攻击者可远程执行任意代码控制目标系统。该漏洞CVSSv3评分为9.8分(严重级),目前存在野外利用可能性,建议所有受影响用户立即采取防护措施。  

漏洞详情
该漏洞源于Windows处理恶意构造的NEGOEX协议消息时未正确验证数据长度,导致堆缓冲区溢出(CWE-122)。攻击者无需身份验证即可通过SMB(445端口)、RDP(3389端口)、HTTP/S等协议发起远程攻击,完全绕过系统身份验证机制。启用“允许PKU2U身份验证请求”组策略的系统面临更高风险。  

受影响版本
- Windows 10(1607及后续版本)  
- Windows 11(22H2/23H2/24H2)  
- Windows Server 2016/2019/2022/2025(含Server Core)  

修复与缓解方案
1. 官方补丁:微软已于2025年7月补丁星期二发布安全更新,用户需通过Windows Update或WSUS服务器立即部署。  
2. 临时防护:  
   - 关闭非必要的SMB、RDP等协议对外暴露端口(如445/3389)  
   - 通过防火墙限制高危端口的非授权访问  
   - 禁用“网络安全:允许PKU2U身份验证请求”组策略(路径:计算机配置→Windows设置→安全设置→本地策略→安全选项)  
3. 第三方防护:部分安全厂商(如Check Point)已发布IPS规则(CPAI-2025-0504),建议启用相关防护策略。  

风险提示
由于漏洞利用复杂度低且影响核心协议,安全人员需警惕大规模蠕虫式攻击。建议企业用户:  
- 优先为暴露在公网的服务端系统打补丁  
- 监控内网中异常NEGOEX协议交互行为  
- 部署流量检测规则(如SMB/RDP协议中异常协商包特征)  

微软官方修复指南:  
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47981  

(本文数据更新于2025年7月9日午11时34分)
回复

使用道具 举报

351 1
沙发
发表于 前天 11:45 来自手机 | 只看该作者
其实就对个厂商有影响 等poc
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表