Kritische Sicherheitslücke CVE-2025-47981 in Windows SPNEGO - Update dringend empfohlen

09. Juli 2025

Beschreibung

Microsoft hat eine kritische Sicherheitslücke im Windows SPNEGO Extended Negotiation (NEGOEX) Security Mechanism veröffentlicht. Die Schwachstelle ermöglicht es Angreifern, aus der Ferne und ohne Authentifizierung beliebigen Code auf betroffenen Systemen auszuführen.

CVE-Nummer: CVE-2025-47981
CVSS Base Score: 9.8 (Kritisch)

Auswirkungen

Ein nicht authentifizierter Angreifer kann durch das Senden einer speziell präparierten Nachricht an den Server beliebigen Code aus der Ferne ausführen (Remote Code Execution). Die Schwachstelle basiert auf einem Heap-basierten Pufferüberlauf und erfordert keine Benutzerinteraktion oder spezielle Privilegien.

Besondere Gefahr: Aufgrund der Eigenschaften dieser Schwachstelle (keine Authentifizierung erforderlich, Netzwerk-basierter Angriff, keine Benutzerinteraktion notwendig) besteht das Potenzial für wurmartige Verbreitung. Ein erfolgreicher Angriff könnte sich selbstständig über das Netzwerk auf andere verwundbare Systeme ausbreiten.

Betroffene Systeme

Die Sicherheitslücke betrifft folgende Windows-Versionen:

  • Windows 10 (alle Versionen)
  • Windows 11 (alle Versionen)
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2012 und 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2025

Besonders gefährdet sind Windows-Client-Systeme ab Windows 10 Version 1607, bei denen die Gruppenrichtlinie "Network security: Allow PKU2U authentication requests to this computer to use online identities" im Unterschied zu den Server-Varianten standardmäßig aktiviert ist.

Abhilfe

Microsoft hat für alle betroffenen Versionen Sicherheitsupdates veröffentlicht. Diese sollten umgehend über Windows Update oder manuell über den Microsoft Update Catalog installiert werden.

Die spezifischen KB-Nummern für die Updates sind:

  • Windows 10/11 und Server 2025: KB5062553
  • Windows Server 2022: KB5062572
  • Windows Server 2019: KB5062557
  • Windows Server 2016: KB5062560
  • Windows Server 2012 R2: KB5062597
  • Windows Server 2012: KB5062592
  • Windows Server 2008 R2: KB5062632 / KB5062619

Mitigationen

Bis zur Installation der Sicherheitsupdates können folgende Maßnahmen das Risiko reduzieren:

  • Gruppenrichtlinie deaktivieren: Auf Windows-Clients kann die Gruppenrichtlinie "Network security: Allow PKU2U authentication requests to this computer to use online identities" deaktiviert werden, um die Angriffsfläche zu reduzieren. Dies kann jedoch die Funktionalität bestimmter Anwendungen beeinträchtigen.

Hinweis

Dringlichkeitshinweis: Aufgrund der potentiellen Wurmfähigkeit dieser Schwachstelle empfiehlt CERT.at die sofortige Installation der Sicherheitsupdates. Die Kombination aus Remote-Ausnutzbarkeit ohne Authentifizierung, keiner erforderlichen Benutzerinteraktion und der hohen CVSS-Bewertung (9.8) macht diese Schwachstelle zu einem kritischen Sicherheitsrisiko.

Zum Zeitpunkt der Veröffentlichung gibt es keine Hinweise auf eine aktive Ausnutzung der Schwachstelle. Die Veröffentlichung technischer Details erhöht jedoch das Risiko, dass zeitnah Exploits entwickelt werden.

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Microsoft Security Update Guide - CVE-2025-47981 (Englisch):
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47981