Microsoft ha lanzado actualizaciones críticas de seguridad para abordar CVE-2025-47981, una severa vulnerabilidad de desbordamiento de búfer basada en el montón en el mecanismo de seguridad de negociación extendida SPNEGO (NOGOEX) que afecta a múltiples versiones de Windows y Windows Server.
Esta vulnerabilidad conlleva una puntuación CVSS de 9.8 de 10, lo que indica la máxima gravedad con el potencial de ejecución del código remoto sin la interacción del usuario.
Control de llave
1. Vulnerabilidad de desbordamiento del búfer basado en el montón en Windows Spnego con una puntuación CVSS de 9.8/10 que permite la ejecución del código remoto.
2. Los atacantes pueden ejecutar código enviando mensajes maliciosos a servidores sin interacción o privilegios del usuario.
3. Afecta las versiones de Windows 10 (1607+), Windows 11 y Windows Server en 33 configuraciones del sistema.
4. Microsoft lanzó actualizaciones el 8 de julio de 2025: priorice la implementación en sistemas orientados a Internet y controladores de dominio.
El defecto permite a los atacantes no autorizados ejecutar código arbitrario sobre conexiones de red, por lo que es particularmente peligroso para los entornos empresariales.
Vulnerabilidad RCE Wormable (CVE-2025-47981)
La vulnerabilidad reside en Windows Spnego Extended negociación, que extiende el mecanismo de negociación GSS-API simple y protegido.
CVE-2025-47981 se clasifica como CWE-122, que representa una debilidad de desbordamiento de búfer basada en el montón que puede explotarse de forma remota.
El CVSS Vector String CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H/E: U/RL: O/RC: C indica ataques basados en la red con baja complejidad, no requiere privilegios o interacción del usuario, mientras proporciona un alto impacto a la confidencialidad, la integridad y el disponibilidad.
Los investigadores de seguridad han evaluado esta vulnerabilidad como una “explotación más probable”, aunque no se han informado ninguna exploitación pública o explotación activa en el momento de la divulgación.
La vulnerabilidad afecta particularmente a las máquinas clientes de Windows que ejecutan Windows 10 versión 1607 y superior, donde el objeto de política de grupo “Seguridad de la red: permita que las solicitudes de autenticación PKU2U a esta computadora usen identidades en línea” está habilitado de forma predeterminada.
Los atacantes pueden explotar CVE-2025-47981 enviando mensajes maliciosos a los servidores afectados, lo que puede lograr capacidades de ejecución de código remoto.
El desbordamiento del búfer basado en el montón ocurre dentro del mecanismo de procesamiento de NOGOEX, lo que permite a los atacantes sobrescribir las estructuras de memoria y obtener el control del flujo de ejecución del programa.
Esta característica de Wormable significa que la vulnerabilidad podría propagarse potencialmente a través de los sistemas conectados a la red sin requerir la intervención del usuario.
La vulnerabilidad fue descubierta a través de la divulgación coordinada por investigadores de seguridad, incluidos contribuyentes anónimos y Yuki Chen.
El reconocimiento de Microsoft de estos investigadores demuestra la importancia de la divulgación de vulnerabilidad responsable en el mantenimiento de las posturas de seguridad empresarial.
Factores de riesgo DetailsAffected Products: Windows 10 (versiones 1607 y superiores)- Windows 11 (versiones 23H2, 24H2)- Windows Server 2008 R2 a Servidor 2025- Tanto X64, X86 y Arquitecturas ARM64 INSTALACIONES DE COREMENTES DEL COREMENTO INCLUIDOS DE IMPLOMO
Implementación de parche
Microsoft lanzó actualizaciones integrales de seguridad el 8 de julio de 2025, abordando la vulnerabilidad en diferentes configuraciones de Windows.
Las actualizaciones críticas incluyen parches para Windows Server 2025 (compilación 10.0.26100.4652), Windows 11 Versión 24H2 (compilación 10.0.26100.4652), Windows Server 2022 23H2 Edition (compilación 10.0.25398.1732) y sistemas de legacy que incluyen Windows Server 2008 R2 (compilación 6.1.7601.27820).
Las organizaciones deben priorizar la implementación inmediata de estas actualizaciones de seguridad, particularmente para sistemas orientados a Internet y controladores de dominio.
Los parches están disponibles a través de Windows Update, Microsoft Update Catálogo y Windows Server Update Services (WSUS).
Los administradores del sistema deben verificar la instalación exitosa controlando los números de compilación contra el boletín de seguridad de Microsoft y considerar la implementación de la segmentación de la red como una medida defensiva adicional mientras se implementan parches.
Piense como un atacante, dominando la seguridad del punto final con Marcus Hutchins – Registrarse ahora
