CVE-2025-47981: Vulnerabilidade Crítica de Overflow de Buffer no Windows SPNEGO com Execução Remota de Código
Com mais de 1,4 bilhão de dispositivos executando Windows e a ampla adoção do Microsoft 365 e Azure, as tecnologias da Microsoft continuam sendo a base da infraestrutura corporativa moderna. No entanto, essa onipresença também as torna um alvo atraente para agentes de ameaça. Segundo o relatório de vulnerabilidades Microsoft 2025 da BeyondTrust, 2024 registrou um número recorde de 1.360 vulnerabilidades relacionadas à Microsoft — um aumento de 11% em relação ao ano anterior — evidenciando a ampliação da superfície de ataque.
Essa tendência crescente se reflete no Patch Tuesday mais recente da Microsoft, que corrigiu 130 vulnerabilidades, incluindo a crítica CVE-2025-47981. Trata-se de um overflow de buffer baseado em heap no SPNEGO Extended Negotiation do Windows (CVSS 9.8), que permite execução remota de código. À medida que agentes de ameaça exploram cada vez mais componentes centrais da Microsoft, os defensores devem priorizar a detecção e mitigação rápida.
Cadastre-se na Plataforma SOC Prime para acessar o feed global de ameaças ativas, que oferece CTI em tempo real e algoritmos de detecção curados para enfrentar ameaças emergentes. As equipes de segurança podem explorar uma coleção abrangente de regras Sigma enriquecidas com contexto e marcadas por “CVE”, apoiadas por uma suíte completa de produtos para engenharia de detecção com IA, threat hunting automatizado e detecção avançada de ameaças.
Todas as regras são compatíveis com vários formatos de SIEM, EDR e Data Lakes e estão mapeadas para o framework MITRE ATT&CK. Além disso, cada regra é enriquecida com links de CTI, linhas do tempo de ataque, configurações de auditoria, recomendações de triagem e mais contexto relevante. Pressione o botão Explorar Detecções para visualizar toda a pilha de detecção proativa contra vulnerabilidades críticas filtradas pela tag “CVE”.
Engenheiros de segurança também podem aproveitar o Uncoder AI — uma IA privada, não agente, criada especificamente para engenharia de detecção baseada em ameaças. Com o Uncoder, os defensores podem converter automaticamente IOCs em consultas de hunting acionáveis, criar regras de detecção a partir de relatórios brutos de ameaças, prever tags ATT&CK, otimizar consultas com IA e traduzir conteúdos de detecção entre diversas plataformas.
Análise da CVE-2025-47981
No Patch Tuesday de julho de 2025, a Microsoft lançou correções para 130 falhas de segurança, incluindo uma vulnerabilidade crítica e propagável via worm (wormable) de execução remota de código (RCE), rastreada como CVE-2025-47981, que afeta o Windows e o Windows Server.
A CVE-2025-47981 é uma vulnerabilidade de overflow de buffer baseado em heap no mecanismo SPNEGO Extended Negotiation, com pontuação CVSS elevada de 9.8. Um atacante pode explorar essa falha enviando uma mensagem manipulada a um sistema vulnerável — sem necessidade de interação do usuário. O código é executado com privilégios elevados, tornando a vulnerabilidade propagável. A Microsoft classificou essa falha no mais alto nível de explorabilidade, indicando provável exploração em até 30 dias.
O patch está incluído nas atualizações de segurança para várias versões do Windows e Windows Server. Segundo a Microsoft, a vulnerabilidade afeta o Windows 10 (versão 1607 ou superior) devido às configurações padrão do GPO. Por isso, a aplicação imediata dos patches é a forma mais viável de mitigar a CVE-2025-47981. Saeed Abbasi, da Qualys Threat Research Unit, recomendou priorizar atualizações para sistemas expostos à internet, ativos acessíveis via VPN e sistemas que interagem com o Active Directory. Para ambientes onde não for possível aplicar patches, recomenda-se desabilitar a configuração GPO PKU2U e bloquear as portas de entrada 135, 445 e 5985 no perímetro da rede.
Para se manter à frente da crescente superfície de ataque, as organizações podem contar com a expertise da SOC Prime e com IA, oferecendo um marketplace de regras de detecção, automação de threat hunting, engenharia de detecção, inteligência de ameaças nativa em IA e outros recursos que transformam o SOC. Ao utilizar a suíte completa de produtos da SOC Prime, baseada em IA, automação e CTI acionável, e fundamentada nos princípios de zero trust, as equipes de segurança conseguem reduzir efetivamente os riscos de exploração de vulnerabilidades e de outras ameaças emergentes.
