Lösungen

Preise

Partner

Login

Kostenlose Beratung
09.07.2025

Kritische Schwachstelle in Windows-Authentifizierung

Wir möchten Sie auf eine kritische Sicherheitslücke in Microsoft Windows aufmerksam machen, die derzeit ein akutes Risiko für Ihre IT-Infrastruktur darstellt. Die Schwachstelle mit einem CVSS-Score von 9.8 betrifft nahezu alle aktuellen Windows- und Windows-Server-Versionen – einschließlich Windows Server 2008 R2 – und ermöglicht es Angreifern, ohne Benutzerinteraktion Schadcode mit Systemrechten auszuführen.

 

Ein unmittelbares Patchen betroffener Systeme ist dringend erforderlich.

IT-Sicherheitsforscher berichten von aktiven Angriffen, bei denen u. a. bestehende Web-Sessions kompromittiert und Authentifizierungen ohne Kenntnis der Nutzer erlangt wurden – was nahelegt, dass auch aktive Multi-Faktor-Authentifizierung umgangen werden konnte.

Was ist passiert?

Microsoft hat eine schwerwiegende Schwachstelle (CVE‑2025‑47981) im Authentifizierungsprotokoll SPNEGO NEGOEX – einem wichtigen Teil der Windows-Authentifizierung u.a. im Domain-Umfeld – identifiziert und veröffentlicht. Diese Sicherheitslücke erlaubt es Angreifern, beliebigen Code mit Systemrechten ausführen zu können – ohne Anmeldung und ohne jegliche Benutzeraktion. 

 

Die Bedrohung ist besonders ernst zu nehmen, da Microsoft sie als „wormable“ klassifiziert. Dies bedeutet, dass die Schadsoftware sich automatisiert über Netzwerke verbreiten kann. Ein erster Missbrauch dieser Lücke ist laut Microsoft bereits in Kürze zu erwarten.

Gemeldete Sicherheitslücke

Die Sicherheitslücke erlaubt es unauthentifizierten Angreifern, durch präparierte NETZWERK-Nachrichten, Code mit Systemrechten auszuführen und so einen „heap-basierten Buffer Overflow“ auszulösen. Hierbei handelt es sich um einen Fehler im Umgang mit dem Speicher. Programme reservieren bei ihrer Ausführung Speicherplatz im sogenannten Heap – einem dynamischen Speicherbereich, der flexibel zur Laufzeit angefordert wird.

Wird in diesem Bereich mehr geschrieben, als vorgesehen ist, können benachbarte Speicherbereiche manipuliert werden. Das erlaubt Angreifern, eigenen Schadcode einzuschleusen und auszuführen – in diesem Fall sogar mit den höchsten Berechtigungen.

Was ist betroffen?

Diese Schwachstelle betrifft alle Windows-Clients ab Windows 10 Version 1607, da in diesen Versionen standardmäßig die folgende Gruppenrichtlinie aktiviert ist: „Netzwerksicherheit: PKU2U-Authentifizierungsanforderungen an diesen Computer mit Online-Identitäten zulassen“.

Durch diese Standardeinstellung ist die Angriffsfläche auf vielen Systemen bereits aktiv – auch ohne spezielle Konfiguration.

 

Besonders gefährdet sind zudem Systeme, bei denen NEGOEX in Kombination mit folgenden Diensten eingesetzt wird:

  • Active Directory / Domain Controller
  • RDP-Zugänge
  • VPN-Gateways
  • SMB-Dateifreigaben
  • Windows Remote Management (WinRM)

Was kann ich tun?

Die Schwachstelle CVE‑2025‑47981 stellt eine akute Bedrohung für Windows-basierte Netzwerke dar. Die Kombination aus hoher Kritikalität, einfacher Ausnutzbarkeit und der Möglichkeit automatischer Verbreitung macht diese Lücke besonders gefährlich.

Wir empfehlen Ihnen, umgehend zu handeln, um potenziellen Schaden zu verhindern:

 

  1. Priorität: Installieren Sie umgehend die aktuellen Microsoft-Sicherheitsupdates – insbesondere auf öffentlich erreichbaren oder geschäftskritischen Systemen.
  2. Wenn Sie nicht patchen können, blockieren Sie Netzwerkzugriffe auf die Ports 135, 445 und 5985, sofern technisch möglich.
  3. Deaktivieren Sie per Gruppenrichtlinie (GPO) die Einstellung „Allow PKU2U authentication requests“, falls nicht benötigt.
  4. Prüfen Sie, welche Systeme potenziell verwundbar sind, und priorisieren Sie die Absicherung sensibler Dienste wie AD, RDP oder VPN.

Von Experten für Experten:

Wichtiger Hinweis: Bitte beachten, dass es bei der Blockierung der Ports 135, 445 und 5985 zu folgenden Auswirkungen kommen kann:

 

  • Dateifreigaben (Netzlaufwerke): Diese sind ggf. nicht mehr erreichbar.
  • Gruppenrichtlinien: Die Aktualisierung von GPOs kann je nach Umgebung fehlschlagen oder verzögert erfolgen. 
  • Remote PowerShell (WinRM): Skriptbasierte Lösungen wie SCCM, Ansible oder andere Automatisierungs-Tools könnten nicht mehr funktionieren.
  • MI-/DCOM-Zugriffe: Tools für Monitoring, Inventarisierung oder Administration können gestört sein, z.B. bei der Verbindung zu entfernten Systemen.

 

So können Sie eine potentielle Ausnutzung der Schwachstelle erkennen:

 

  • EDR/Antivirus mit Speicheranalyse nutzen (z.B. Defender for Endpoint, CrowdStrike, SentinelOne), um verdächtige Aktivitäten im Arbeitsspeicher zu erkennen.
  • Eventlog-Monitoring aktivieren – besonders auf LSASS-Abstürze und ungewöhnliche Netzwerkverbindungen achten.
  • Sysmon einsetzen (speziell die Events: ID 1: Prozessstart, ID 10: Zugriff auf andere Prozesse, ID 11: Dateioperationen)

Wichtige Seiten

Kontaktieren Sie uns.
Unser Team ist für Sie da!

Telefon: +49 30 95 999 8080

E-Mail:  info@perseus.de

Kostenlose Beratung

© 2025 Perseus Technologies GmbH. All rights reserved

Lösungen
Produkte:
Prävention
Risikobewertung
Notfallhilfe
Preise
Partner
Login
Kostenlose Beratung