Freym PC Blog

CVE-2025-47981: Vulnerabilidad Crítica en Windows SPNEGO Extended Negotiation

Admin
July 16, 2025
CVE-2025-47981: Vulnerabilidad Crítica en Windows SPNEGO Extended Negotiation
Translate to:
Gravedad: Crítica (CVSS 9.8)
Vector: Remoto, sin autenticación ni interacción del usuario
Publicación: Julio 2025 (Patch Tuesday)

Descripción técnica

Esta vulnerabilidad consiste en un desbordamiento de búfer basado en heap en el mecanismo de seguridad SPNEGO Extended Negotiation (NEGOEX) de Windows. Un atacante no autenticado puede explotar este fallo enviando paquetes de autenticación NEGOEX especialmente diseñados a través de la red, lo que permite la ejecución remota de código con privilegios elevados en el proceso LSASS (Local Security Authority Subsystem Service). El proceso LSASS es crítico para la seguridad del sistema y opera con altos privilegios, por lo que un compromiso supone control total sobre el sistema afectado.

Impacto

  • Acceso remoto total: El atacante puede ejecutar código arbitrario en el sistema objetivo.
  • Wormable: Por su naturaleza (no requiere autenticación ni interacción), es susceptible a software malicioso que se propague de forma automática entre sistemas vulnerables en la red interna y sobre internet.
  • Movimiento lateral: Facilita el desplazamiento del atacante a otros equipos dentro de la red empresarial.
  • Compromiso de credenciales: Al ejecutarse en LSASS, puede permitir la extracción de hashes y credenciales.

Productos afectados

  • Windows 10 (todas las versiones soportadas desde 1607)
  • Windows 11 (todas las versiones)
  • Windows Server 2012 / 2012 R2 / 2016 / 2019 / 2022 / 2025
  • En especial, Windows cliente donde la GPO Network security: Allow PKU2U authentication requests to this computer to use online identities está habilitada por defecto.

Facilidad de explotación

  • No requiere credenciales ni interacción de usuario.
  • Basta con que el atacante tenga acceso de red al puerto (o puertos) involucrados en la autenticación NEGOEX (p.ej. 135/445/5985).
  • El exploit enviado puede automatizarse; el riesgo de explotación masiva es elevado.
  • Microsoft y organizaciones de ciberseguridad anticipan intentos de explotación en las próximas semanas.

Mitigaciones y recomendaciones

  • Actualizar inmediatamente todos los sistemas Windows afectados con los parches publicados en el Patch Tuesday de julio de 2025.
  • Si no es posible aplicar el parche de inmediato:
    • Deshabilitar la GPO Network security: Allow PKU2U authentication requests to this computer to use online identities.
    • Restringir el acceso a los puertos 135, 445 y 5985 en el perímetro y redes internas susceptibles a explotación.
  • Monitorizar tráfico anómalo y signos de ataque en los logs de autenticación y eventos de LSASS.
  • Priorizar sistemas expuestos a internet y servidores que gestionen el acceso remoto o integraciones con Active Directory.
Comments (0)

No comments yet. Be the first to comment!