火绒安全软件

标题: 微软Windows SPNEGO NEGOEX协议曝高危远程代码执行漏洞（CVE-2025-47981） [打印本页]

作者: hali皓 时间: 前天 11:35
标题: 微软Windows SPNEGO NEGOEX协议曝高危远程代码执行漏洞（CVE-2025-47981）
2025年7月9日，微软官方确认Windows操作系统SPNEGO扩展协商（NEGOEX）机制存在高危堆缓冲区溢出漏洞（CVE-2025-47981），攻击者可远程执行任意代码控制目标系统。该漏洞CVSSv3评分为9.8分（严重级），目前存在野外利用可能性，建议所有受影响用户立即采取防护措施。

漏洞详情
该漏洞源于Windows处理恶意构造的NEGOEX协议消息时未正确验证数据长度，导致堆缓冲区溢出（CWE-122）。攻击者无需身份验证即可通过SMB（445端口）、RDP（3389端口）、HTTP/S等协议发起远程攻击，完全绕过系统身份验证机制。启用“允许PKU2U身份验证请求”组策略的系统面临更高风险。

受影响版本
- Windows 10（1607及后续版本）
- Windows 11（22H2/23H2/24H2）
- Windows Server 2016/2019/2022/2025（含Server Core）

修复与缓解方案
1. 官方补丁：微软已于2025年7月补丁星期二发布安全更新，用户需通过Windows Update或WSUS服务器立即部署。
2. 临时防护：
- 关闭非必要的SMB、RDP等协议对外暴露端口（如445/3389）
- 通过防火墙限制高危端口的非授权访问
- 禁用“网络安全：允许PKU2U身份验证请求”组策略（路径：计算机配置→Windows设置→安全设置→本地策略→安全选项）
3. 第三方防护：部分安全厂商（如Check Point）已发布IPS规则（CPAI-2025-0504），建议启用相关防护策略。

风险提示
由于漏洞利用复杂度低且影响核心协议，安全人员需警惕大规模蠕虫式攻击。建议企业用户：
- 优先为暴露在公网的服务端系统打补丁
- 监控内网中异常NEGOEX协议交互行为
- 部署流量检测规则（如SMB/RDP协议中异常协商包特征）

微软官方修复指南：
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47981

（本文数据更新于2025年7月9日午11时34分）

作者: hali皓 时间: 前天 11:45
其实就对个厂商有影响等poc

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)