【风险提示】天融信关于Windows 远程桌面许可服务远程代码执行漏洞(CVE-2024-38077)的风险提示

【风险提示】天融信关于Windows 远程桌面许可服务远程代码执行漏洞(CVE-2024-38077)的风险提示
2024-8-9 13:29:0 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

0x00 背景介绍

8月9日，天融信阿尔法实验室监测到被命名为“狂躁许可（MadLicense）”的远程桌面许可服务远程代码执行漏洞（CVE-2024-38077）的部分漏洞细节及PoC伪代码在互联网上公开，微软已在2024年7月月度更新中发布此漏洞的补丁。

此漏洞影响Windows Server 2000到Windows Server 2025所有版本，已存在近30年。远程攻击者可以通过网络稳定利用此漏洞进行远控、勒索、蠕虫等攻击，且利用此漏洞无需任何权限即可实现远程代码执行。

0x01 漏洞描述

远程桌面许可服务（Remote Desktop Licensing，RDL）是Windows Server的一个组件，用于管理和颁发远程桌面服务的许可证，确保对远程应用程序和桌面进行安全且合规的访问。该服务被广泛部署于开启了Windows远程桌面服务（3389端口）的服务器上。RDL服务不是默认安装，但很多管理员会手动开启。

此漏洞是Windows Server RDL服务中的一个堆溢出漏洞（CWE-122），由于在解码用户输入的许可密钥包时，未正确检验解码后数据长度与缓冲区大小之间的关系，导致堆溢出。未经授权的远程攻击者通过向存在漏洞的Windows Server发送特制的数据包来利用此漏洞，成功利用此漏洞可在该目标服务器上执行任意代码。

目前，该漏洞的部分细节以及PoC伪代码已公开，但需要进行分析漏洞成因后，修改该PoC伪代码，才能真正复现该漏洞。

0x02 漏洞编号

CVE-2024-38077

0x03 漏洞等级

严重

0x04 影响版本

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2022, 23H2 Edition (Server Core installation)

0x05 修复建议

Windows自动更新

Windows系统默认启用Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

另外，对于不能自动更新的系统版本，可参考以下链接下载适用于该系统的7月补丁并安装：

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul

0x06 参考链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

0x07 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。

天融信

阿尔法实验室

长按二维码关注我们

文章来源: https://mp.weixin.qq.com/s?__biz=Mzg3MDAzMDQxNw==&mid=2247496654&idx=1&sn=c5c34d08fc0854fbc917b591cdaf263c&chksm=ce96bef0f9e137e6e2b3de72b68f7320a54b2215b6a145cff73440eded94437f2573ba35edbd&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh