零点击全盘掌控：CVE-2024-38077致命RCE漏洞震撼曝光

又是有惊无险一天！

深信服首席安全研究员Zhiniang Peng (彭峙酿)在他的个人博客上发表了一篇《MadLicense: One bug to Rule Them All, Stably Exploiting a Preauth RCE vulnerability on Windows Server 2025》揭示了Windows 远程桌面授权服务远程代码执行漏洞。这个漏洞在安全圈掀起了宛如核弹，给这次国家级的演练中掀起了一波巨浪。

Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)发布时间是2024年8月9日，影响范围Win server 2000-Win server 2025,开启了Windows Remote Desktop Licensing (RDL) 服务的Windows服务器，该服务被广泛部署于开启 Windows 远程桌面（3389 端口）的服务器，用于管理远程桌面连接许可。攻击者无需任何前置条件，无需用户交互（零点击），便可直接获取服务器最高权限执行任意操作。

Windows 远程桌面服务默认开启2个会话，如果要开启更多的会话就要购买许可证。而RDL就是管理这些许可证。一些堡垒机如某治堡垒机，jumperserver会默认开启RDL，以资源发布的方式管理更多的会话。

监测组件系统版本

使用”Win+R”组合键调出“运行”，在其中输入“winver”后执行确定。检查对应系统版本是否等于或高于表格版本，如果高于或等于表格中的版本，则不存在此漏洞。

检查系统补丁安装情况

在“设置”-“更新与安全”-”Windows 更新”-“更新历史”中检查是否存在下列表格中对应系统补丁，如果存在以下补丁，则证明漏洞已修复。

官方修复建议

微软官方已发布针对该漏洞的修复方案，受影响用户请通过官方链接下载并更新补丁。链接如下：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

好消息是不是开启了3389远程登录的服务器就开启了RDL服务，需要用户直接选择安装。坏消息是：通过作者的扫描互联网上有17万台Server开启了RDL服务，而且难以想象内网中的设备的数量会更多。在这个时间点爆出这个漏洞，用户会很快的响应，检查并修复此漏洞。

附一个深信服发布的CVE-2024-38077的漏洞报告。

链接：https://pan.quark.cn/s/70f93a5ddc6d