火绒安全软件
标题:
微软Windows SPNEGO NEGOEX协议曝高危远程代码执行漏洞(CVE-2025-47981)
[打印本页]
作者:
hali皓
时间:
昨天 11:35
标题:
微软Windows SPNEGO NEGOEX协议曝高危远程代码执行漏洞(CVE-2025-47981)
2025年7月9日,微软官方确认Windows操作系统SPNEGO扩展协商(NEGOEX)机制存在高危堆缓冲区溢出漏洞(CVE-2025-47981),攻击者可远程执行任意代码控制目标系统。该漏洞CVSSv3评分为9.8分(严重级),目前存在野外利用可能性,建议所有受影响用户立即采取防护措施。
漏洞详情
该漏洞源于Windows处理恶意构造的NEGOEX协议消息时未正确验证数据长度,导致堆缓冲区溢出(CWE-122)。攻击者无需身份验证即可通过SMB(445端口)、RDP(3389端口)、HTTP/S等协议发起远程攻击,完全绕过系统身份验证机制。启用“允许PKU2U身份验证请求”组策略的系统面临更高风险。
受影响版本
- Windows 10(1607及后续版本)
- Windows 11(22H2/23H2/24H2)
- Windows Server 2016/2019/2022/2025(含Server Core)
修复与缓解方案
1. 官方补丁:微软已于2025年7月补丁星期二发布安全更新,用户需通过Windows Update或WSUS服务器立即部署。
2. 临时防护:
- 关闭非必要的SMB、RDP等协议对外暴露端口(如445/3389)
- 通过防火墙限制高危端口的非授权访问
- 禁用“网络安全:允许PKU2U身份验证请求”组策略(路径:计算机配置→Windows设置→安全设置→本地策略→安全选项)
3. 第三方防护:部分安全厂商(如Check Point)已发布IPS规则(CPAI-2025-0504),建议启用相关防护策略。
风险提示
由于漏洞利用复杂度低且影响核心协议,安全人员需警惕大规模蠕虫式攻击。建议企业用户:
- 优先为暴露在公网的服务端系统打补丁
- 监控内网中异常NEGOEX协议交互行为
- 部署流量检测规则(如SMB/RDP协议中异常协商包特征)
微软官方修复指南:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47981
(本文数据更新于2025年7月9日午11时34分)
作者:
hali皓
时间:
昨天 11:45
其实就对个厂商有影响 等poc
欢迎光临 火绒安全软件 (https://bbs.huorong.cn/)
Powered by Discuz! X3.4