CVE-2025-47981: Vulnerabilidad Crítica de Desbordamiento de Búfer en Heap en SPNEGO Extended Negotiation de Windows Permite RCE

Con más de 1.400 millones de dispositivos ejecutando Windows y una adopción masiva de Microsoft 365 y Azure, las tecnologías de Microsoft siguen siendo la base de la infraestructura empresarial moderna. Sin embargo, esta ubicuidad también las convierte en un objetivo atractivo para los actores de amenazas. Según el informe de vulnerabilidades de Microsoft 2025 de BeyondTrust, los hallazgos revelan que en 2024 se reportaron un récord de 1.360 vulnerabilidades relacionadas con Microsoft — un aumento del 11 % interanual — lo que subraya el crecimiento de la superficie de ataque.
Esta tendencia al alza se refleja en el último Patch Tuesday de Microsoft, que abordó 130 vulnerabilidades, incluida la crítica CVE-2025-47981. Se trata de un desbordamiento de búfer basado en heap en Windows SPNEGO Extended Negotiation (CVSS 9.8) que permite la ejecución remota de código (RCE). A medida que los actores de amenazas aprovechan cada vez más componentes centrales de Microsoft, los equipos defensivos deben priorizar la detección y mitigación rápida.
Regístrate en la Plataforma SOC Prime para acceder al feed global de amenazas activas, que ofrece inteligencia de amenazas en tiempo real (CTI) y algoritmos de detección curados para hacer frente a amenazas emergentes. Los equipos de seguridad pueden explorar una amplia colección de reglas Sigma enriquecidas con contexto y etiquetadas por “CVE”, respaldadas por una suite completa para ingeniería de detección impulsada por IA, threat hunting automatizado y detección avanzada.
Todas las reglas son compatibles con múltiples formatos de SIEM, EDR y Data Lake, y están mapeadas al marco de trabajo MITRE ATT&CK. Además, cada regla está enriquecida con enlaces de CTI, cronologías de ataque, configuraciones de auditoría, recomendaciones de triaje y más contexto relevante. Presiona el botón Explorar Detecciones para ver toda la pila de detección frente a vulnerabilidades críticas filtradas por la etiqueta “CVE”.
Los ingenieros de seguridad también pueden aprovechar Uncoder AI —una IA privada y no agente, diseñada específicamente para ingeniería de detección basada en amenazas. Con Uncoder, los defensores pueden convertir automáticamente IOCs en consultas de hunting accionables, generar reglas de detección desde reportes de amenazas sin procesar, habilitar predicción de etiquetas ATT&CK, aprovechar la optimización de consultas basada en IA y traducir contenido de detección a múltiples plataformas.
Análisis de CVE-2025-47981
Durante el Patch Tuesday de julio de 2025, Microsoft lanzó correcciones para 130 fallos de seguridad, incluida una vulnerabilidad crítica y «wormable» de ejecución remota de código (RCE) rastreada como CVE-2025-47981, que afecta tanto a Windows como a Windows Server.
CVE-2025-47981 es una vulnerabilidad de desbordamiento de búfer basado en heap en el mecanismo SPNEGO Extended Negotiation, con una puntuación CVSS de 9.8. Un atacante puede explotar este fallo enviando un mensaje especialmente diseñado a un sistema vulnerable —sin necesidad de interacción del usuario—. El código malicioso se ejecuta con privilegios elevados, lo que hace que esta vulnerabilidad sea wormable. Microsoft ha calificado esta vulnerabilidad con el nivel más alto de explotabilidad, lo que indica que es probable su explotación en un plazo de 30 días.
El parche está incluido en las actualizaciones de seguridad para múltiples versiones de Windows y Windows Server. Microsoft indicó que esta vulnerabilidad afecta a Windows 10 (versión 1607 en adelante) debido a la configuración predeterminada del GPO. Por ello, aplicar parches de forma oportuna sigue siendo la estrategia más viable para mitigar CVE-2025-47981. Saeed Abbasi, del equipo de investigación de amenazas de Qualys, recomendó priorizar las actualizaciones en sistemas expuestos a internet, activos accesibles por VPN y cualquier sistema que interactúe con Active Directory. Para los sistemas donde el parcheo no sea posible, se recomienda deshabilitar la configuración GPO de PKU2U y bloquear los puertos entrantes 135, 445 y 5985 en el perímetro de red.
Para adelantarse a la creciente superficie de ataque, las organizaciones pueden confiar en la experiencia y tecnología de SOC Prime, que ofrece un marketplace de reglas de detección, automatización del threat hunting, ingeniería de detección, inteligencia de amenazas nativa en IA, y más capacidades para transformar su SOC. Al aprovechar la suite completa de productos de SOC Prime basada en IA, automatización y CTI procesable, y construida bajo principios de zero-trust, los equipos de seguridad pueden minimizar eficazmente los riesgos de explotación de vulnerabilidades y otras amenazas emergentes.