В современном мире информационной безопасности любые уязвимости операционных систем, особенно таких распространённых, как Windows, вызывают повышенное внимание и беспокойство. Одной из самых серьёзных и опасных проблем последних месяцев стала уязвимость CVE-2025-47981, затрагивающая механизм аутентификации SPNEGO Extended Negotiation (NEGOEX) в операционных системах Windows. Её критическая природа, позволяющая злоумышленникам выполнить удалённый произвольный код без необходимости аутентификации, ставит под угрозу безопасность миллионов корпоративных и частных пользователей по всему миру. Осознание технических деталей, масштабов угрозы и способов защиты становится важным шагом для любого IT-специалиста и администратора сетей. SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) является компонентом Windows, отвечающим за аутентификацию и согласование протоколов безопасности для различных сетевых служб.
Механизм NEGOEX - расширение SPNEGO, используемое для упрощения и усиления процесса аутентификации, при этом он широко применяется в таких службах, как SMB, RDP, HTTP/S и SMTP. Правильная работа и безопасность данного механизма имеют решающее значение для предотвращения несанкционированного доступа и атак на корпоративную инфраструктуру. В основе CVE-2025-47981 лежит ошибка, связанная с управлением памятью, а именно heap-based buffer overflow. Такая ошибка возникает, когда операция записи в область памяти превышает выделенный размер, что приводит к повреждению памяти и может быть использовано злоумышленником для выполнения вредоносных действий. В данном случае уязвимость возникает при обработке специально сформированных пакетов в механизме NEGOEX, позволяя отправителю удалённо исполнить произвольный код на целевой системе.
Особую опасность представляет возможность эксплуатации этой уязвимости без какой-либо аутентификации, т.е. злоумышленник может воздействовать на систему даже без официального доступа. Широкий спектр сервисов Windows, использующих SPNEGO для аутентификации, делает потенциал атаки масштабным. К наиболее уязвимым относятся службы SMB (порт 445), RDP (порт 3389), HTTP/S (порты 80 и 443), а также SMTP (порт 25).
То есть, практически все популярные точки входа в корпоративные сети и серверные системы становятся потенциальными каналами для эксплойта. Кроме того, уязвимость затрагивает множество версий Windows, начиная с Windows 10 (начиная с версии 1607) и всех последующих обновлений, включая Windows 11 и серверные релизы вплоть до Windows Server 2025. Значительное расширение поверхности атаки обусловлено использованием по умолчанию групповой политики «Network security: Allow PKU2U authentication requests», которая активирует возможность аутентификации на основе протокола PKU2U. Последствия успешной эксплуатации CVE-2025-47981 могут быть крайне серьёзными. Злоумышленник получает возможность удалённо выполнить произвольный код с привилегиями системы, что влечёт за собой полный контроль над устройством или сервером.
Это открывает двери для установки вредоносного ПО, кражи конфиденциальных данных, распространения в сети и дальнейших атак, включая вымогательское ПО и кибершпионаж. Особое беспокойство вызывают корпоративные среды с высокой степенью интеграции сервисов, где взлом одного элемента способствует масштабному проникновению в инфраструктуру. В связи с серьёзностью угрозы Microsoft оперативно отреагировала, выпустив в рамках июльского обновления безопасности 2025 года патч, устраняющий уязвимость. Патч изменяет обработку сообщений SPNEGO NEGOEX, обеспечивая корректную валидацию входящих данных и предотвращая переполнение буфера. Для системных администраторов и IT-специалистов крайне важно как можно скорее установить обновления, доступные через стандартные каналы обновления Windows - Windows Update, WSUS или через каталог обновлений Microsoft.
Несвоевременное применение патча значительно увеличивает риск успешных атак. История обнаружения и устранения уязвимостей в SPNEGO подчеркивает сложность борьбы с унаследованными протоколами и механизмами. Ранее уже регистрировались аналогичные проблемы, например CVE-2022-37958 и CVE-2025-21295, свидетельствующие о системных сложностях при обеспечении безопасности в контексте взаимодействия старых и новых механизмов аутентификации. Тем не менее активность Microsoft в плане быстрого реагирования и выпуска исправлений показывает серьезность отношения к таким угрозам. Современные киберугрозы требуют от организаций высокой готовности и оперативности в обновлении программного обеспечения.
