Handlungsempfehlung zu Sicherheitslücke in Windows-SPNEGO Extended Negotiation (NEGOEX)-Funktion
Microsoft hat im Rahmen des Juli-Patchday-2025 eine kritische Schwachstelle mit einem CVSS Score von 9.8 (kritisch) in der SPNEGO Extended Negotiation (NEGOEX)-Funktion veröffentlicht.
Diese Sicherheitslücke (CVE-2025-47981) ermöglicht es Angreifern, aus der Ferne und ohne Authentifizierung beliebigen Code mit Systemrechten auszuführen – allein durch das Senden spezieller Netzwerkpakete.
Diese Schwachstelle gilt als „wormable“, d.h. sie könnte sich automatisiert im Netzwerk verbreiten.
Betroffene Umgebungen:
-
- Alle Windows Server-Editionen
- Windows 10, 11, Server 2016, 2019, 2022
- Systeme, die Kerberos, Remote Desktop, OLE DB, oder PKU2U nutzen
Handlungsempfehlung:
-
- Installieren Sie das offizielle Microsoft Update vom Juli 2025 auf allen Clients und Servern
- Temporäre Absicherung (falls Patch nicht sofort möglich)
Deaktivieren Sie per Gruppenrichtlinie die Verwendung von PKU2U (Peer-to-Peer Kerberos), um das Angriffspotenzial vorübergehend zu minimieren:
GPO-Einstellung:
Computerkonfiguration → Richtlinien → Windows Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen → Einstellung: „Netzwerksicherheit: Lässt an diesen Computer gerichtete PKU2U-Authentifizierungsanforderungen zu, um die Verwendung von Onlineidentitäten zu ermöglichen“ → **Deaktiviert**
Quelle:
Gerne unterstützen wir Sie bei der Prüfung Ihrer Systeme und der Umsetzung der entsprechenden Maßnahmen. Melden Sie sich dazu bitte bei unserem Support per Mail (support@systemhaus-vorort.de) oder telefonisch (+49 271 3388460-1) und vereinbaren einen zeitnahen Termin.
Sollten die betroffenen Systeme Teil eines Managed Service-Vertrags sein, wird dazu automatisch ein Ticket erstellt und wir setzten uns proaktiv mit Ihnen in Verbindung.
