本文是一份关于Windows高危漏洞CVE-2025-47981的紧急安全警报。该漏洞CVSS评分高达9.8,无需用户交互即可远程执行代码,且具备“可蠕虫”传播特性,对企业网络构成严重威胁。文章深入剖析了该漏洞的核心原理、影响范围、潜在风险,并提供了清晰的补丁优先部署建议,旨在帮助系统管理员快速响应,保障系统安全。

紧急安全警报:Windows“可蠕虫”高危漏洞(CVE-2025-47981)来袭

  • 2025年7月12日

微软近日发布了关键的安全更新,旨在修复一个编号为CVE-2025-47981的高危漏洞。该漏洞存在于SPNEGO扩展协商(NEGOEX)安全机制中,属于一个基于堆的缓冲区溢出漏洞,影响了多个版本的Windows和Windows Server操作系统。

该漏洞的CVSS评分为9.8分(满分10分),属于最高危级别。最关键的是,它可以在无需任何用户交互的情况下,被远程利用并执行代码,对企业IT环境构成严重威胁。

一、漏洞核心剖析 

这个漏洞被归类为CWE-122,是一个可被远程利用的基于堆的缓冲区溢出漏洞。其CVSS向量字符串为CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,这组代码的含义是:

  • 攻击路径 (AV:N): 可通过网络发起攻击。
  • 攻击复杂度 (AC:L): 攻击的复杂度低,容易被利用。
  • 所需权限 (PR:N): 无需任何系统权限。
  • 用户交互 (UI:N): 无需任何用户交互。
  • 影响范围 (S:U): 影响局限于被攻击的组件。
  • 机密性/完整性/可用性影响 (C:H/I:H/A:H): 对系统的机密性、完整性和可用性都会造成极高影响。

攻击者仅需向受影响的服务器发送一条精心构造的恶意消息,便可能利用此漏洞。基于堆的缓冲区溢出发生在NEGOEX的处理机制中,允许攻击者覆盖内存中的关键结构,并最终控制程序的执行流程,即实现远程代码执行(RCE)

更值得警惕的是,该漏洞被评估为具备“可蠕虫传播”的特性。这意味着利用该漏洞的恶意软件,有可能在一个系统被攻破后,自动地、无需用户干预地通过网络连接,去攻击和感染网络中的其他脆弱系统,从而引发大规模、快速的横向传播。

该漏洞由包括匿名贡献者和Yuki Chen在内的安全研究人员,通过协调披露机制发现并报告给微软。

二、影响范围与风险评估

此次漏洞波及范围相当广泛,涵盖了33种不同的系统配置。

  • 主要受影响的系统包括:
    • Windows 10 (版本1607及更高版本)
    • Windows 11 (所有版本)
    • Windows Server 2008 R2, 2012, 2016, 2019, 2022, 以及最新的2025版本

安全研究人员特别指出,运行Windows 10版本1607及更高版本的客户端计算机,尤其容易受到影响,因为这些系统默认启用了组策略对象“网络安全:允许PKU2U身份验证请求使用在线身份”。

该漏洞带来的核心风险包括:

  • 系统完全控制: 攻击者一旦成功利用此漏洞,将可能获得与系统同等的权限,从而完全控制被攻击的服务器。
  • 数据泄露与勒索软件部署: 获得系统控制权后,攻击者可以轻易地窃取敏感数据,或部署勒索软件对系统进行加密勒索。
  • 内网横向移动与大规模爆发: 其“可蠕虫”的特性,使得攻击能够在内网中快速蔓延。一旦一台服务器被攻破,尤其是像域控制器这样的核心服务器,整个企业网络都可能面临瘫痪的风险。
  • 关键业务中断: 对于运行着SAP等核心ERP系统的服务器,一旦被攻击,将直接导致企业最关键的业务流程中断,造成不可估量的经济损失。

三、微软的修复方案与部署建议

微软已于2025年7月8日发布了全面的安全更新,针对所有受影响的Windows配置修复了该漏洞。关键的更新包括针对Windows Server 2025、Windows 11 24H2版、Windows Server 2022 23H2版,乃至Windows Server 2008 R2等旧系统的安全补丁。

企业系统管理员应立即采取行动,并遵循以下部署建议:

  1. 确定优先级,优先修补:
    • 第一优先级: 所有面向互联网的系统,如Web服务器、远程桌面网关、反向代理服务器等。这些是暴露在公网、最容易受到第一波攻击的系统。
    • 第二优先级: 域控制器(Domain Controllers)。域控制器是企业网络的“心脏”,一旦被攻破,后果不堪设想。
    • 之后: 尽快为网络内所有其他受影响的服务器和客户端计算机部署补丁。
  2. 获取与部署补丁:

    补丁可通过Windows Update、Microsoft更新目录和Windows Server更新服务(WSUS)等多种渠道获取。

  3. 验证与额外防御:

    系统管理员应通过核对微软官方安全公告中的补丁版本号,来验证安全更新是否已成功安装。在部署补丁期间,可以考虑实施临时的网络分段或加强访问控制策略,作为额外的防御措施。

四、赛锐信息观点

CVE-2025-47981是一个极其严重的安全漏洞,其“无需交互、可远程执行、可蠕虫传播”的特性组合,使其成为近年来最具威胁性的漏洞之一。

这不是一次可以被推迟或忽略的更新。鉴于其潜在的快速传播能力,任何延迟都可能为企业带来灾难性的后果。建议所有Windows系统管理员立即评估自身环境的风险,并尽快采取行动,部署相关的安全补丁,以确保企业核心业务系统的安全与稳定。

企业在向SAP S/4HANA Cloud转型时,SAP 许可 (License) 从 On-Premise 时代的经典指定用户模型转向全新的 FUE 许可模式,且 SAP 产品的许可 (License) 包含诸如“组件授权、用户授权、计量模式”等复杂模型,这对企业来说如同一个黑匣子,难以理解其工作原理。此外,企业还面临 SAP 的 License 审计等合规性问题。赛锐信息在 SAP License 审计流程方面拥有丰富咨询经验,拥有自主研发的高效 SAP License 资产优化软件产品,欢迎企业在需要时随时联系我们,以获得我们的支持服务和软件产品试用体验。

更多文章

软件产品

解决方案

有疑问?联系我们
请拨打官方热线
0371-6331 9921
滚动至顶部