前言
近期,微软披露一个远程代码执行严重漏洞(CVE-2024-38077)。这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被部署于开启了Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。攻击者无需前置条件,便可直接获取开启该服务的Windows服务器最高权限,执行任意操作。
此次发现的漏洞只影响Windows Server版本,不影响其他Windows版本,该漏洞是存在于Windows远程桌面授权服务(RDL)中,由于该服务被广泛部署且开启Windows远程桌面(TCP:3389端口)的服务器,用于管理远程桌面连接许可,虽然该服务默认是不开启的,但因远程管理需求,管理员手动开启依然广泛。该漏洞是由Windows远程桌面授权服务中的堆缓冲区溢出引起的,可导致攻击者在未经身份验证的情况下远程执行任意代码。通过该漏洞,攻击者只须针对开启了相关服务的服务器发送特制数据包,即可完全控制目标系统,获得最高的SYSTEM权限。
正文
远程桌面许可服务(RDL)是 Windows Server 的一个组件,用于管理和颁发远程桌面服务的许可证,确保对远程应用程序和桌面的安全且合规的访问。
Windows远程桌面许可服务(RDL)默认不开启,不受漏洞影响。鉴于漏洞poc部分信息已经曝光,并迅速成为研究热点,建议尽快修复漏洞。
漏洞名称:Windows 远程桌面授权服务远程代码执行漏洞
漏洞编号:CVE-2024-38077
危害等级:严重
CVSS评分:9.8
漏洞类型:远程代码执行
影响范围:开启Windows Remote Desktop Licensing(RDL)Service 的Windows服务
影响版本:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
漏洞修复建议
1、关闭RDL服务
(1)使用如下命令行,先确认一下RDL服务是不是开启:
sc query TermServLicensing
(2)使用如下命令行,先关闭RDL服务:
sc stop TermServLicensing
2、采取微软官方解决方案及缓解措施。Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的补丁并安装。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
文章名称:《Windows Server RDL远程代码执行漏洞(CVE-2024-38077)》
文章链接: https://www.sgtms.com/win/138.html
本站资源仅供个人学习交流,转载或者引用本文内容请注明来源及作者,不允许用于商业用途。
网友评论抢沙发