news 2026/7/15 9:32:01

CVE-2025-47981实战排查修复教程:NEGOEX蠕虫漏洞全网检测、应急规避与长效加固

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
CVE-2025-47981实战排查修复教程:NEGOEX蠕虫漏洞全网检测、应急规避与长效加固

一、漏洞真实危害场景:为什么这次必须紧急处置

很多运维人员对Windows月度补丁漏洞存在惯性松懈心态,认为常规漏洞不会造成大规模风险。但CVE-2025-47981和普通系统漏洞完全不同,它是继EternalBlue(MS17-010)之后,又一个具备无人值守全自动内网爆破扩散能力的Windows核心协议漏洞。

过往多数高危漏洞,要么需要攻击者获取内网基础权限,要么需要诱导用户触发操作,要么仅能实现单设备本地提权。但CVE-2025-47981突破了所有前置限制:攻击者无需任何账号密码、无需接入目标内网、无需用户点击任何文件,仅通过公网IP投递恶意数据包,就能直接拿下目标Windows主机最高系统权限。

最致命的隐患在于NEGOEX协议的底层属性。该协议是Windows系统默认启用的核心认证组件,支撑SMB文件共享、LDAP域身份校验、RPC远程进程调用三大核心服务。政企内网所有的域控同步、服务器文件传输、终端远程运维、业务系统交互,全部依赖该协议运行。这意味着漏洞的攻击面覆盖了企业内网100%的核心网络设备,不存在业务隔离、端口规避的天然防护条件。

结合近期威胁情报观测结果,目前黑产团伙已经公开了该漏洞的自动化蠕虫利用脚本,脚本可实现“单设备沦陷→自动扫描同网段所有存活主机→批量攻击扩散→植入持久化后门→横向渗透域控”的完整闭环。一旦企业内网有一台终端或服务器未修复,短时间内即可引发全域设备瘫痪、核心数据加密、业务系统停摆,和2017年WannaCry勒索病毒爆发的传播逻辑完全一致。

二、漏洞底层原理拆解:NEGOEX堆溢出成因与利用逻辑

想要彻底做好漏洞防护和应急排查,不能只依赖打补丁,需要清晰掌握漏洞底层触发逻辑,才能精准规避误判、解决兼容问题、搭建长效防护体系。

2.1 NEGOEX协议工作机制

SPNEGO Extended Negotiation(NEGOEX)是微软在Windows 10 1607版本后迭代升级的扩展认证协议,替代了传统SPNEGO协议的老旧协商逻辑,主要用于客户端与服务端之间快速协商认证算法、密钥参数、会话标识,简化域环境和内网设备的身份交互流程。

系统默认将NEGOEX协议挂载在LSA(本地安全认证机构)进程中,开机自启、常驻后台,所有基于SMB、LDAP、RPC的网络请求,都会优先调用NEGOEX完成前置协商认证。微软为了适配多版本设备兼容,在33种系统默认配置中直接开启该功能,没有做权限白名单和请求校验限制。

2.2 堆溢出漏洞核心成因

漏洞本质是LSA进程处理NEGOEX协议自定义数据包时,存在无边界内存拷贝缺陷。程序在解析攻击者构造的超长恶意协商数据包时,未对数据包长度、字段格式做合法性校验,直接将恶意数据拷贝至堆内存缓冲区。

正常业务数据包有固定字段长度和格式规范,不会触发内存异常。但攻击者可以手动构造畸形数据包,刻意超出缓冲区内存容量,覆盖堆内存中的函数指针、进程权限标识、系统调用地址,最终劫持LSA进程执行流,注入自定义系统指令。

由于LSA进程拥有系统最高权限(NT AUTHORITY\SYSTEM),攻击成功后,攻击者可以直接获取设备最高控制权,无需任何提权操作。

2.3 类EternalBlue传播机制对比

很多运维人员经历过WannaCry事件,能直观理解该漏洞的恐怖之处。两者核心传播机制完全同源,仅漏洞触发点不同:EternalBlue依托SMB协议缓冲区溢出,CVE-2025-47981依托NEGOEX认证协议堆溢出。

二者一致的高危特性:无认证绕过、网络远程触发、蠕虫自动化传播、依托系统核心常驻进程、影响全版本Windows设备。这也是该漏洞被微软标记为特级高危、CVSS评分拉满9.8分的核心原因。

三、漏洞攻击与传播流程架构图

以下流程图完整还原黑产蠕虫攻击的完整链路,清晰展示从公网探测到内网全域沦陷的全过程,方便运维人员针对性封堵攻击节点。

A[公网端口探测] – 扫描445/389/135端口 --> B[识别Windows存活主机]
B --> C[发送恶意NEGOEX畸形数据包]
C --> D[触发LSA堆内存溢出]
D --> E[获取System最高权限]
E --> F[植入持久化后门/木马]
F --> G[本地网段全网扫描]
G --> H[横向渗透内网所有未修复设备]
H --> I[接管域控/加密数据/窃取资料]
I --> J[全域业务瘫痪/数据泄露]

四、精准受影响资产范围(无遗漏适配)

该漏洞不存在小众系统豁免、特殊配置豁免的情况,只要设备开启默认NEGOEX协议,且未安装2025年7月官方安全补丁,全部存在可被利用的风险。我整理了全网精准受影响系统清单,规避网上残缺版本的误判问题。

4.1 客户端受影响系统

Windows 10 1607、1703、1803、1809、1903、1909、21H1、21H2、22H2全版本;Windows 11 22H2、23H2、24H2所有流通正式版本。家用终端、办公PC、工控上位机均在风险范围内。

4.2 服务器受影响系统

Windows Server 2008 R2(政企老旧业务主力系统)、Server 2012、Server 2016、Server 2019、Server 2022全版本。无论是物理服务器、虚拟机、云服务器,只要开启默认认证服务,均存在漏洞。

4.3 风险排除标准

仅两种情况可判定为安全:一是已安装微软2025年7月累积安全更新补丁;二是业务适配完成后,手动永久禁用NEGOEX扩展协商协议。单纯关闭端口无法彻底防护,攻击者可通过内网其他开放服务联动触发漏洞。

五、全网实战排查方案(脚本+手动+批量扫描)

排查是漏洞处置的核心前提,很多企业漏洞扩散的核心原因就是排查不彻底,遗漏边缘设备、离线服务器、工控终端。本节提供三套可直接落地的排查方案,覆盖单设备自检、全网批量检测、暴露面核查,所有代码均可直接复制使用。

5.1 单设备一键PowerShell排查脚本(管理员权限)

该脚本整合协议状态检测、系统版本匹配、补丁安装校验三大核心功能,规避网上零散脚本检测不全的问题,适配所有受影响Windows设备。

<# CVE-2025-47981 完整风险排查脚本 功能:检测NEGOEX状态、系统受影响情况、7月安全补丁、设备风险等级 运行方式:PowerShell 管理员身份直接执行 #>Write-Host"===== CVE-2025-47981 漏洞风险排查开始 ====="-ForegroundColor Cyan# 1. 检测NEGOEX协议启用状态Write-Host"`n[1] 检测NEGOEX协议配置状态"-ForegroundColor Yellow$negoStatus=Get-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Negotiate"-ErrorAction SilentlyContinueif($negoStatus.EnableNegotiateEx-eq1){Write-Host"高危:NEGOEX协议已默认启用,存在漏洞触发条件"-ForegroundColor Red}elseif($negoStatus.EnableNegotiateEx-eq0){Write-Host"安全:NEGOEX协议已手动禁用"-ForegroundColor Green}else{Write-Host"预警:未读取到协议配置,系统默认启用NEGOEX,存在风险"-ForegroundColor Orange}# 2. 检测系统版本与受影响匹配情况Write-Host"`n[2] 检测系统版本信息"-ForegroundColor Yellow$sysInfo=Get-ComputerInfo|Select-ObjectOsName,OsVersion,OsBuildNumber$sysInfo# 3. 检测2025年7月安全补丁安装情况Write-Host"`n[3] 检测月度安全补丁更新状态"-ForegroundColor Yellow$patchList=Get-HotFix|Where-Object{$_.InstallDate-gt"2025-07-01"-and$_.Description-match"Security Update"}|Sort-ObjectInstallDate-Descendingif($patchList){Write-Host"安全:已安装2025年7月安全更新,漏洞已修复"-ForegroundColor Green$patchList}else{Write-Host"高危:未检测到2025年7月安全补丁,漏洞未修复"-ForegroundColor Red}Write-Host"`n===== 排查结束 ====="-ForegroundColor Cyan

5.2 排查结果快速判定规则

我简化了运维判定逻辑,无需专业分析,直接对照结果即可分级处置:

1. 极高风险:协议启用=1 + 无7月安全补丁,设备可被直接远程攻击,立即隔离修复;

2. 临时安全:协议禁用=0,无补丁,可临时规避攻击,需后续择机打补丁;

3. 完全安全:已安装7月安全补丁,无论协议是否启用,漏洞彻底修复。

5.3 全网端口暴露面批量检测方案

单设备排查效率极低,企业内网需批量核查端口暴露情况。NEGOEX漏洞依托135、389、445三个核心端口触发,所有公网、内网对外开放这三个端口的Windows设备,都是重点攻击目标。

运维可通过端口扫描工具,对内网全网段扫描存活主机及开放端口,重点标记以下设备:公网IP映射445端口、域控对外开放389端口、服务器默认开启135远程RPC端口的设备,此类设备优先封堵端口、紧急修复漏洞。

六、分层级修复方案(生产环境零停机落地)

生产环境不能盲目批量打补丁,极易引发业务中断、域认证异常、老旧系统兼容故障。我结合政企运维实战经验,整理出「临时应急规避+永久补丁修复」双方案,搭配严格的修复优先级,适配所有生产场景。

6.1 修复优先级(严格执行,避免全域沦陷)

很多企业运维习惯先修终端、后修服务器,这个顺序完全错误。域控和核心服务器一旦沦陷,整个内网的账号权限、认证体系全部失控,后续修复毫无意义。正确优先级如下:

第一优先级(0-6小时紧急修复):AD域控制器、统一认证服务器、OA核心服务器。这类设备掌控全网权限,是攻击者首要攻击目标,必须第一时间处置。

第二优先级(6-24小时修复):文件服务器、数据库服务器、业务应用服务器、共享存储设备。这类设备存储核心业务数据,漏洞利用成功会直接导致数据泄露、篡改、丢失。

第三优先级(24-48小时全覆盖):办公终端、工控终端、外围辅助设备。终端数量多、暴露面广,是内网横向扩散的主要跳板,最后批量收尾修复。

6.2 永久根治方案:安装微软官方安全补丁(推荐)

协议禁用仅能临时规避风险,会牺牲部分系统功能,唯一彻底解决漏洞的方式是安装微软2025年7月Patch Tuesday官方累积补丁。

普通终端可通过系统自带Windows Update自动更新,服务器建议通过WSUS批量推送,避免单台手动操作效率过低。补丁安装后必须重启设备,内核更新才能生效,重启后重新运行排查脚本核验修复状态。

针对离线服务器、无外网工控设备,可在微软MSRC官网下载对应系统版本的独立补丁包,本地离线安装更新。

6.3 零停机应急规避方案(核心业务临时兜底)

部分核心生产服务器7×24小时不间断运行,无法随时重启更新,可通过临时禁用NEGOEX协议阻断漏洞利用链路,全程无需停机、不影响核心业务运行。

<# CVE-2025-47981 临时应急规避脚本 功能:禁用NEGOEX扩展协商协议,阻断漏洞攻击路径 运行方式:PowerShell 管理员身份执行 #># 修改注册表禁用NEGOEX协议Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Negotiate"-Name"EnableNegotiateEx"-Value 0-TypeDWord-Force# 重启LSA认证服务,无需重启整机生效Restart-Service-Name lsass-ForceWrite-Host"NEGOEX协议已成功禁用,漏洞临时规避完成"-ForegroundColor Green

实操注意:该操作仅禁用扩展协商功能,不影响常规域认证、文件共享、远程运维业务。仅部分老旧Windows Server 2008 R2搭配老旧终端的环境,可能出现短暂共享访问异常,适配兼容性后即可恢复正常。

七、故障回滚应急预案(解决补丁兼容/配置异常)

生产环境任何变更都存在兼容风险,我整理了完整的回滚方案,出现业务异常时可一键恢复初始状态,保障业务零中断。

7.1 补丁更新异常回滚

若安装7月补丁后,出现业务系统闪退、域认证失败、软件兼容报错等问题,可直接卸载对应安全补丁。操作路径:控制面板→程序和功能→已安装的更新,筛选2025年7月安全更新条目,右键卸载,完成后重启设备即可恢复系统初始状态。

7.2 协议禁用配置回滚

若临时禁用NEGOEX后出现设备认证异常,可执行以下脚本一键恢复系统默认配置:

<# NEGOEX协议配置回滚脚本 恢复系统默认启用状态,修复认证异常问题 #>Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Negotiate"-Name"EnableNegotiateEx"-Value 1-TypeDWord-ForceRestart-Service-Name lsass-ForceWrite-Host"NEGOEX协议已恢复默认配置"-ForegroundColor Green

八、企业全网长效加固方案(杜绝同类蠕虫漏洞复发)

单次漏洞修复只能解决当下风险,企业想要长期规避Windows蠕虫类高危漏洞,需要搭建边界防护、内网隔离、监测预警、补丁运维的完整防护体系。

8.1 边界防火墙端口严格封堵

公网出口防火墙、云安全组默认拒绝所有外网IP访问135、389、445高危端口,仅放行内网信任网段、固定运维白名单IP。杜绝端口公网暴露,从源头拦截外网批量扫描和攻击行为。

8.2 内网安全域隔离划分

将企业内网划分为核心业务域、办公终端域、工控设备域,通过交换机ACL策略限制跨域横向访问。即使单一终端沦陷,攻击者也无法渗透至核心服务器网段,缩小攻击影响范围。

8.3 全网异常行为实时监测

在态势感知、EDR终端安全平台配置监测规则,重点监控NEGOEX协议异常请求、内网短时间批量端口扫描、LSA进程异常调用、陌生IP高频访问认证服务等行为,发现攻击苗头立即告警、自动阻断。

8.4 补丁运维机制常态化

固定每月微软Patch Tuesday补丁巡检周期,对CVSS≥9.0的特级高危漏洞,执行72小时全网修复机制;对服务器、域控等核心设备,提前搭建测试环境验证补丁兼容性,规避生产故障。

8.5 老旧设备专项治理

内网大量Windows Server 2008 R2、老旧工控终端无长期更新支持,是蠕虫漏洞的主要突破口。针对这类设备,单独做端口隔离、协议精简、白名单防护,禁止直接暴露在公网和核心业务网段。

九、漏洞复盘与运维总结

CVE-2025-47981的爆发,再次暴露了多数企业内网防护的核心短板:过度依赖系统默认配置、忽视核心协议漏洞风险、补丁运维滞后、内网横向防护缺失。这类蠕虫级零认证高危漏洞,不需要复杂的攻击链路,黑产自动化脚本即可实现全网爆破,对政企内网安全威胁极大。

本次漏洞处置的核心逻辑很清晰:先排查定位风险资产、优先保护核心设备、临时兜底规避风险、分批完成永久修复、最后搭建长效防护体系。运维人员切忌心存侥幸,不要依赖防火墙、杀毒软件的被动防护,这类核心系统底层漏洞,传统安全设备无法有效拦截。

对于所有政企单位而言,Windows核心协议、核心进程相关的高危漏洞,必须纳入最高优先级处置清单,复刻EternalBlue传播机制的漏洞,每一次爆发都可能造成全域网络瘫痪。


互动提问

1. 你们企业内网目前还有Windows Server 2008 R2等老旧无补丁支持设备吗?是如何做隔离防护的?

2. 针对月度Patch Tuesday高危漏洞,你们团队是否有固定的全网排查修复流程?欢迎在评论区交流运维经验。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/15 9:30:37

Jetson TX2开发者套件从零到AI:系统迁移与YOLOv5环境一站式部署指南

1. Jetson TX2开发者套件开箱与系统烧录 拿到Jetson TX2开发板的第一件事就是完成系统烧录。这里推荐使用NVIDIA官方提供的SDK Manager工具&#xff0c;它能帮你一站式完成系统镜像和开发环境的部署。我实测下来&#xff0c;这个工具确实能省去不少手动配置的麻烦&#xff0c;不…

作者头像 李华
网站建设 2026/7/15 9:30:12

UE5第三人称相机系统:从弹簧臂组件到实战调优

1. 项目概述&#xff1a;为什么第三人称相机是UE5项目的基石在虚幻引擎5&#xff08;UE5&#xff09;里鼓捣过角色控制的开发者&#xff0c;十有八九都跟相机系统“搏斗”过。尤其是第三人称视角&#xff0c;它远不止是把镜头拉到角色背后那么简单。一个手感糟糕、动不动穿墙或…

作者头像 李华
网站建设 2026/7/15 9:29:18

基于夹角判断递归算法实现河流骨架线自动提取

1. 项目概述&#xff1a;从离散点云到河流骨架在地理信息系统、水文分析乃至游戏地图生成中&#xff0c;我们常常会面对一个经典问题&#xff1a;如何从一堆看似杂乱无章的、代表河流的离散点或短线段数据中&#xff0c;抽取出那条清晰、连贯的主干线&#xff1f;这听起来像是一…

作者头像 李华
网站建设 2026/7/15 9:28:45

Privasis-Cleaner-4B模型训练原理:从37K指令数据到智能清理

Privasis-Cleaner-4B模型训练原理&#xff1a;从37K指令数据到智能清理 【免费下载链接】Privasis-Cleaner-4B 项目地址: https://ai.gitcode.com/hf_mirrors/nvidia/Privasis-Cleaner-4B Privasis-Cleaner-4B是一款轻量级文本清理模型&#xff0c;能够根据用户提供的清…

作者头像 李华