CVE-2025-47981: Kritische heap-basierte Buffer Overflow-Schwachstelle in Windows SPNEGO Extended Negotiation

Mit über 1,4 Milliarden Windows-Geräten sowie der weitverbreiteten Nutzung von Microsoft 365 und Azure bilden Microsoft-Technologien weiterhin das Fundament moderner Unternehmensinfrastrukturen. Diese Allgegenwärtigkeit macht sie jedoch auch zu einem attraktiven Ziel für Angreifer. Laut dem BeyondTrust Microsoft Vulnerabilities Report 2025 wurden im Jahr 2024 rekordverdächtige 1.360 Microsoft-bezogene Schwachstellen verzeichnet – ein Anstieg von 11 % im Jahresvergleich – was die stetig wachsende Angriffsfläche unterstreicht.
Dieser Aufwärtstrend zeigt sich auch im jüngsten Patch Tuesday von Microsoft, der 130 Sicherheitslücken schloss, darunter die kritische CVE-2025-47981. Dieser heap-basierte Buffer Overflow in Windows SPNEGO Extended Negotiation (CVSS 9.8) ermöglicht die Ausführung von Schadcode aus der Ferne. Da Angreifer vermehrt zentrale Microsoft-Komponenten ausnutzen, müssen Verteidiger eine schnelle Erkennung und Abwehr priorisieren.
Registrieren Sie sich für die SOC Prime Plattform, um Zugriff auf den globalen Active Threats Feed zu erhalten, der Echtzeit-CTI sowie kuratierte Erkennungsalgorithmen für neue Bedrohungen bietet. Sicherheitsteams können eine umfangreiche Sammlung kontextreicher Sigma-Regeln mit „CVE“-Tags durchsuchen, unterstützt von einer umfassenden Produkt-Suite für KI-gestützte Detection Engineering, automatisierte Threat Hunting-Prozesse und fortschrittliche Bedrohungserkennung.
Alle Regeln sind mit mehreren SIEM-, EDR- und Data Lake-Formaten kompatibel und an das MITRE ATT&CK Framework angebunden. Zudem sind alle Regeln mit CTI-Links, Angriffs-Timelines, Audit-Konfigurationen, Triage-Empfehlungen und weiteren relevanten Kontextinformationen angereichert. Drücken Sie den Erkennungen erkunden-Button, um den gesamten Erkennungs-Stack für eine proaktive Verteidigung gegen kritische Schwachstellen gefiltert nach dem „CVE“-Tag zu sehen.
Sicherheitsingenieure können außerdem Uncoder AI nutzen – eine private, nicht-agentische KI, die speziell für threat-informed Detection Engineering entwickelt wurde. Mit Uncoder können Verteidiger automatisch IOCs in nutzbare Hunting Queries umwandeln, Erkennungsregeln aus rohen Bedrohungsberichten erstellen, ATT&CK-Tags vorhersagen, KI-gestützte Query-Optimierung einsetzen und Erkennungsinhalte plattformübergreifend übersetzen.
Analyse zu CVE-2025-47981
Zum Patch Tuesday im Juli 2025 veröffentlichte Microsoft Patches für 130 Sicherheitslücken, darunter eine kritische, sich selbst verbreitende RCE-Schwachstelle mit der Kennung CVE-2025-47981, die sowohl Windows als auch Windows Server betrifft.
CVE-2025-47981 ist eine heap-basierte Buffer-Overflow-Schwachstelle im SPNEGO Extended Negotiation-Mechanismus mit einem hohen CVSS-Wert von 9,8. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine manipulierte Nachricht an ein verwundbares System sendet – ohne jegliche Benutzerinteraktion. Der ausgeführte Code läuft mit erhöhten Rechten, was die Schwachstelle wormfähig macht. Microsoft bewertet diese Schwachstelle mit dem höchsten Exploitabilitätsgrad und erwartet eine wahrscheinliche Ausnutzung innerhalb von 30 Tagen.
Der Patch ist in den Sicherheitsupdates für zahlreiche Windows- und Windows Server-Versionen enthalten. Microsoft weist darauf hin, dass diese Schwachstelle Windows 10 (Version 1607 und höher) aufgrund der Standardeinstellungen der GPO betrifft. Daher bleibt ein zeitnahes Einspielen der Updates der wirksamste Ansatz zur Minderung von CVE-2025-47981. Saeed Abbasi von der Qualys Threat Research Unit empfiehlt, Priorität auf die Aktualisierung internetexponierter Systeme, VPN-zugänglicher Assets sowie aller Systeme mit Active Directory-Interaktion zu legen. Für Systeme, bei denen kein Patch möglich ist, sollte die PKU2U-GPO-Einstellung deaktiviert und die eingehenden Ports 135, 445 und 5985 am Netzwerkperimeter blockiert werden.
Um der ständig wachsenden Angriffsfläche einen Schritt voraus zu sein, können Organisationen auf die Expertise und KI von SOC Prime vertrauen, die einen Marktplatz für Erkennungsregeln, Automatisierung von Threat Hunting, Detection Engineering, KI-native Bedrohungsintelligenz und weitere Funktionen bieten, um Ihr SOC zu transformieren. Durch die Nutzung der vollständigen Produkt-Suite von SOC Prime, die auf KI, Automatisierung und verwertbarer CTI basiert und auf Zero-Trust-Prinzipien aufbaut, können Sicherheitsteams die Risiken durch Schwachstellen-Exploits und andere aufkommende Bedrohungen effektiv minimieren.