CVE-2025-47981: Vulnerabilità Critica di Buffer Overflow Heap in Windows SPNEGO Extended Negotiation con RCE

[post-views]
Luglio 10, 2025 · 4 min di lettura
CVE-2025-47981: Vulnerabilità Critica di Buffer Overflow Heap in Windows SPNEGO Extended Negotiation con RCE

Con oltre 1,4 miliardi di dispositivi che utilizzano Windows e l’adozione diffusa di Microsoft 365 e Azure, le tecnologie Microsoft continuano a costituire la base dell’infrastruttura aziendale moderna. Tuttavia, questa ubiquità le rende anche un obiettivo particolarmente appetibile per gli attori delle minacce. Secondo il BeyondTrust Microsoft Vulnerabilities Report 2025, il 2024 ha registrato un numero record di 1.360 vulnerabilità correlate a Microsoft — un aumento dell’11% anno su anno — evidenziando la crescente superficie di attacco.

Questa tendenza in crescita si riflette nell’ultimo Patch Tuesday di Microsoft, che ha risolto 130 vulnerabilità, inclusa la critica CVE-2025-47981. Questo buffer overflow heap-based nel meccanismo SPNEGO Extended Negotiation di Windows (CVSS 9.8) consente l’esecuzione remota di codice. Con l’aumento degli exploit sui componenti core Microsoft, i difensori devono dare priorità a un rapido rilevamento e mitigazione.

Iscriviti alla SOC Prime Platform per accedere al feed globale delle minacce attive, che offre CTI in tempo reale e algoritmi di rilevamento curati per affrontare le minacce emergenti. I team di sicurezza possono esplorare un’ampia collezione di regole Sigma arricchite di contesto, taggate con “CVE”, supportate da un set completo di prodotti per l’ingegneria del rilevamento basata su AI, la caccia automatizzata alle minacce e il rilevamento avanzato.

Tutte le regole sono compatibili con diversi formati SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK. Inoltre, ogni regola è arricchita con link CTI, timeline degli attacchi, configurazioni di audit, raccomandazioni per il triage e altri contesti rilevanti. Premi il pulsante Esplora i Rilevamenti per visualizzare l’intero stack di rilevamento e difenderti proattivamente dalle vulnerabilità critiche filtrate con il tag “CVE”.

Esplora i Rilevamenti

Gli ingegneri della sicurezza possono anche sfruttare Uncoder AI— un’AI privata, non agentica, progettata specificamente per l’ingegneria del rilevamento basata su threat intelligence. Con Uncoder, i difensori possono convertire automaticamente IOC in query operative per la caccia, creare regole di rilevamento da report di minacce grezzi, abilitare la predizione dei tag ATT&CK, sfruttare l’ottimizzazione AI delle query e tradurre i contenuti di rilevamento su più piattaforme.

Analisi di CVE-2025-47981

Nel Patch Tuesday di luglio 2025, Microsoft ha distribuito correzioni per 130 vulnerabilità di sicurezza, inclusa una critica vulnerabilità wormable di RCE tracciata come CVE-2025-47981 che interessa sia Windows che Windows Server.
CVE-2025-47981 è una vulnerabilità di buffer overflow heap-based nel meccanismo SPNEGO Extended Negotiation, con un punteggio CVSS elevato pari a 9.8. Un attaccante può sfruttare questa falla inviando un messaggio appositamente costruito a un sistema vulnerabile—non è richiesta interazione dell’utente. Il codice viene eseguito con privilegi elevati, rendendo la vulnerabilità wormable. Microsoft ha classificato questa vulnerabilità al massimo livello di sfruttabilità, prevedendo un probabile exploit entro 30 giorni.

La patch è inclusa negli aggiornamenti di sicurezza per numerose versioni di Windows e Windows Server. Microsoft ha specificato che questa vulnerabilità interessa Windows 10 (versione 1607 e successive) a causa delle impostazioni predefinite del GPO. Di conseguenza, l’aggiornamento tempestivo rimane la strategia di mitigazione più efficace per CVE-2025-47981. Saeed Abbasi della Qualys Threat Research Unit ha raccomandato di dare priorità agli aggiornamenti per sistemi esposti a Internet, asset accessibili tramite VPN e sistemi che interagiscono con Active Directory. Per i sistemi dove la patch non è possibile, vale la pena disabilitare l’impostazione PKU2U del GPO e bloccare le porte in ingresso 135, 445 e 5985 al perimetro di rete.

Per restare al passo con una superficie di attacco in continua espansione, le organizzazioni possono affidarsi all’expertise di SOC Prime e alla sua AI, che offrono un marketplace di regole di rilevamento, automazione della threat hunting, ingegneria del rilevamento, threat intelligence nativa AI e molte altre funzionalità per trasformare il SOC. Sfruttando l’intera suite di prodotti SOC Prime supportata da AI, automazione e CTI azionabile, e basata sui principi zero-trust, i team di sicurezza possono minimizzare efficacemente i rischi di sfruttamento delle vulnerabilità e altre minacce emergenti.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati