CVE-2025-47981 è una vulnerabilità critica di tipo Remote Code Execution (RCE) nel meccanismo di sicurezza SPNEGO Extended Negotiation (NEGOEX). Scoperta e divulgata a luglio 2025, questa vulnerabilità di tipo heap-based buffer overflow interessa macchine Windows 10 dalla versione 1607 in poi. Questa CVE ha un punteggio di gravità pari a 9.8 ed è stata corretta tramite l’aggiornamento Microsoft di luglio 2025.
| Data | 2025-07-11 14:38:01 |
Riassunto tecnico
La vulnerabilità si manifesta come un classico overflow del buffer heap, in cui messaggi SPNEGO NEGOEX malformati possono causare la scrittura oltre le regioni di memoria heap allocate.
Il componente Windows SPNEGO Extended Negotiation consente ad attaccanti remoti non autenticati di eseguire codice semplicemente inviando un messaggio malevolo a un sistema vulnerabile.
Il vettore di attacco sfrutta il fatto che la negoziazione SPNEGO avviene durante le prime fasi dei protocolli di autenticazione come SMB, HTTP e LDAP, rendendola accessibile a utenti non autenticati.
Gli attaccanti possono ottenere l’esecuzione di codice arbitrario con privilegi di SYSTEM, poiché il servizio di autenticazione opera tipicamente in un contesto ad alto privilegio.
Microsoft ha assegnato a questa CVE un indice di sfruttabilità elevato e prevede attacchi entro 30 giorni. Tuttavia, al momento non sono disponibili dettagli tecnici né exploit pubblici.
Raccomandazioni
- Correggere immediatamente: Dare priorità all’implementazione degli aggiornamenti di sicurezza Microsoft di luglio 2025 su tutti i sistemi Windows 10 versione 1607 e successive.
- Isolare le reti: Implementare la segmentazione della rete per limitare l’esposizione dei servizi di autenticazione critici.
- Monitoraggio: Implementare soluzioni di monitoraggio di rete per rilevare modelli anomali di traffico SPNEGO e considerare l’utilizzo di firewall a livello applicativo con capacità di ispezione approfondita dei pacchetti.