核弹级【漏洞预警】Windows 远程桌面 | 授权服务远程代码执行漏洞(CVE-2024-38077) - 新鲜讯息

安小圈

第472期

预警 Win超级漏洞

免责声明：本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

近期，微软披露最新的远程代码执行超高危漏洞CVE-2024-38077， CVSS评分高达9.8 ，可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。漏洞影响Windows Server 2000到Windows Server 2025所有版本，已存在近30年。该漏洞可稳定利用、可远控、可勒索、可蠕虫等，破坏力极大，攻击者无须任何权限即可实现远程代码执行。

此漏洞首次通报是在7月9日，当时已有公众号通报过，昨日深信服发布文章宣称已复现，并可提供防护，所以再一次在安全圈炸锅。昨日早上9点19分，监测到github有用户上传名为CVE-2024-38077-POC的项目，经测试此为伪代码，不可用于漏洞复现。

复现视频：

信息来源：

https://sites.google.com/site/zhiniangpeng/blogs/MadLicense

基本信息

国外网站上公开了微软Windows操作系统一个高危漏洞（CVE-2024-38077）的详情和概念验证代码。经分析确认，该漏洞获得CVSS 9.8的评分，是Windows平台近十年来罕见的可以稳定利用、影响广泛的远程零点击(Zero-Click)/认证前（Pre-Auth) 漏洞。研究人员针对该漏洞放出了稳定利用的验证视频并表示，这种漏洞已多年未曾出现。

由于漏洞涉及远程桌面授权服务（Remote Desktop License Service)，研究者将其命名为MadLicense（狂躁许可），并表示还将进一步公开披露更多类似漏洞。

影响范围

该漏洞影响范围广泛，涉及Windows 2000后所有Windows服务器操作系统：包括广泛使用的Windows Server 2008 R2/2012/2016，甚至波及微软内部预览版本：提供了“下一代安全技术”的Windows Server 2025系统。

通过该漏洞，攻击者只须针对开启了相关服务的服务器发送特制数据包，即可完全控制目标系统，获得最高的SYSTEM权限，实现“低门槛、高回报”的攻击效果。上一个有如此影响力的Windows远程漏洞可能要追溯到2019年的BlueKeep（CVE-2019-0708）漏洞，相较BlueKeep，MadLicense的稳定性更高，且不受网络级身份验证（Network Level Authentication，NLA)的影响。

研究人员的全网扫描结果显示，公网上至少有17万台活跃的Windows服务器开启了相关服务，而内网中受影响的服务器数量可能更多。鉴于该漏洞已有成熟稳定的利用证明和公开的验证代码，我们预计攻击者可能迅速开发出完整的漏洞利用方案。更令人担忧的是，这可能引发类似"永恒之蓝"的蠕虫级攻击，导致大规模网络安全威胁。

背景和相关补丁

"狂躁许可"（CVE-2024-38077）漏洞针对的是Windows操作系统的远程桌面授权服务。该服务为Remote Desktop Services（RDS，即常见的远程桌面服务）提供认证和授权，确保只有授权用户或设备可访问RDS。远程桌面授权服务广泛存在于启用远程桌面的机器上。

远程桌面默认仅允许两个同时会话，需购买许可证以启用更多会话。管理员在安装远程桌面（3389端口）时通常会选择安装远程桌面授权服务，导致许多开启3389端口的服务器同时启用了该服务。

安全研究员于2024年5月初向微软报告此漏洞，微软随后在7月的例行补丁日修复。鉴于漏洞的严重性和广泛影响，微软特别为已停止安全更新的系统（如Windows Server 2008/2008 R2/2012/2012 R2）提供了补丁。

关于漏洞情报

值得注意的是，截至目前，微软官方补丁公告仍将该漏洞标记为"不太可能被利用"（Exploitation Less Likely）。然而，补丁发布后稳定利用的证明和验证代码的迅速出现，似乎印证了这一评估的不准确性。

微软的"可利用性分析"（Exploitability Assessment）通常是Windows、Office等产品用户安全团队和绝大多数第三方安全公司提供的漏洞情报的关键参考。但”狂躁许可“漏洞的案例凸显了仅依赖官方或开源情报可能存在的风险和”不靠谱“

如何验证和修复

手动检查

所有未安装2024年7月补丁的Windows服务器操作系统均受此漏洞影响。

服务检查：验证Remote Desktop Licensing服务是否启动，相关补丁是否未安装。

文件版本检查：查看lserver.dll文件版本，确定是否为易受攻击版本。

手动修复

用户可参考微软安全公告，手动安装相关补丁。对于无法安装补丁的情况，微软建议采取以下缓解措施：如非必要，关闭Remote Desktop Licensing服务。注意：此操作将影响远程桌面授权认证和分发，可能导致远程桌面出现问题影响正常业务或降低远程桌面安全性。同时，微软公告中提出：即便采取了上述缓解措施，微软仍强烈建议尽快修复漏洞以全面防护系统。

漏洞描述:

这一漏洞存在于Windows远程桌面许可管理服务（RDL）中，该服务被广泛部署于开启Windows远程桌面（3389端口）的服务器，用于管理远程桌面连接许可,攻击者无需任何前置条件,无需用户交互（零点击）,便可直接获取服务器最高权限执行任意操作,本地漏洞无法通过流量识别,建议业务运维本地核实,检查业务资产是否有使用相关组件的情况，如有可参考详细修复建议操作避免漏洞被恶意利用。

漏洞影响Windows Server 2000到Windows Server 2025所有版本，已存在近30年。

该漏洞可稳定利用、可远控、可勒索、可蠕虫等，破坏力极大，攻击者无须任何权限即可实现远程代码执行。

受影响版本:

开启 Windows Remote Desktop Licensing (RDL) Sevice的Windows Server

Windows Server 2000到2025 全部受影响

漏洞检测POC：

https://github.com/CloudCrowSec001/CVE-2024-38077-POC/blob/main/CVE-2024-38077-poc.py

漏洞修复建议:

微软官方已发布针对该漏洞的修复方案，受影响用户请通过官方链接下载并更新补丁

链接如下:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

漏洞自查方式:

检查系统版本

使用”Win+R”组合键调出“运行”，输入“winver”后执行确定，检查对应系统版本是否等于或高于以下表格中的版本。

如果等于或高于下图中的版本，则不存在此漏洞。

网络攻击提速惊人：PoC发布22分钟内被黑客利用

丑闻缠身、麻烦不断！OpenAI刻意隐瞒遭黑客攻击事件

【黑客攻击】欧洲杯2024成黑客攻击盛宴

香港数码港遭黑客攻击：400GB数据泄露，科技中心受打击被勒索！

END

【原文来源：飓风网络安全/棉花糖fans 】

本文内容所包含内容仅限于学习和研究目的。这些内容源自公开的渠道搜集而来，目的是为帮助安全研究人员用于更好地理解和分析潜在的安全问题。

郑重提示：未经授权地利用可能涉及非法活动并导致法律责任和道德问题。请遵循适用的法律法规和道德准则。任何未经授权使用这些内容而导致的后果将由使用者自行承担。本文作者及安小圈不承担因使用本文内容而导致的任何法律问题、损害或责任。请详细阅读并理解这份免责声明。您将被视为已接受并同意遵守本免责声明所有条款和条件。