漏洞名称：

Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)

发布时间：

2024年7月9日

组件名称：

Windows Server

影响范围：

2000 ≤ Windows Server ≤ 2025

漏洞类型：

远程代码执行

利用条件：

1、用户认证：不需要认证

2、前置条件：开启 Windows  Remote Desktop Licensing（RDL）Sevice 

3、触发方式：远程

4、漏洞利用：利用技术复杂

CVSS评分：9.8

官方解决方案：

微软已发布官方补丁包

漏洞分析

组件介绍

漏洞简介

2024年7月9日，深信服深瞳漏洞实验室监测到一则Windows Server组件存在远程代码执行漏洞的信息，漏洞编号：CVE-2024-38077，CVSS评分9.8，漏洞利用技术复杂。

这个漏洞存在于Windows远程桌面许可管理服务（RDL），RDL服务用于管理远程桌面License。利用此漏洞，攻击者能够在无需任何前置条件或用户交互的情况下，获得服务器的权限，并执行任意操作。但是RDL服务默认情况下不开启，仅在需要RDP多会话接入时才需要开启RDL服务。

影响范围

解决方案

检测方式

1、检查组件系统版本

使用”Win+R”组合键调出“运行”，输入“winver”后执行确定，检查对应系统版本是否等于或高于以下表格中的版本。如果等于或高于表格中的版本，则不存在此漏洞。

2、检查系统补丁安装情况

在“设置”-“更新与安全”-”Windows更新”-“更新历史”中检查是否存在以下表格中对应的系统补丁。如果存在以下补丁，则证明漏洞已修复。

官方修复建议

深信服解决方案

1、影响面排查

支持对Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)的检测，可批量快速检出业务场景中是否存在漏洞风险，相关产品如下：

【深信服安全托管服务MSS】已发布检测方案。

4、漏洞安全监测：

支持对Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)的监测，可依据流量收集实时监控业务场景中的受影响资产情况，快速检查受影响范围，相关产品及服务如下：

【深信服安全感知管理平台SIP】已发布防护方案，规则编号10011226。

【深信服安全检测与响应平台XDR】已发布防护方案，规则编号10011226。

深信服XDR平台基于攻击故事线还原能力，通过端、网、云等安全数据关联和设备联动，能够及时发现漏洞利用攻击，并自动化封堵攻击行为，助力每一位用户「安全领先一步」。

时间轴

2024/7/9

2024/8/9