2024年7月,微软官方发布了一则重要公告,披露了CVE-2024-38077这一针对Windows Server远程桌面授权服务(RDL)的远程代码执行漏洞。该漏洞的CVSS评分高达9.8,表明其极高的严重性和潜在的广泛影响。本文将详细解析这一漏洞的成因、影响范围及解决方法。
漏洞成因
CVE-2024-38077漏洞的核心问题在于Windows远程桌面许可管理服务(RDL)在处理用户输入的许可密钥包时的解码过程。具体来说,RDL服务在将编码后的许可密钥包解码并存储到内存缓冲区时,未能正确验证解码后数据的长度与缓冲区大小之间的关系。这种缺乏边界检查的情况使得攻击者可以通过构造一个超长的、特定格式的编码数据包,利用缓冲区溢出漏洞,向系统注入恶意代码。当数据溢出缓冲区后,攻击者能够覆盖关键的内存区域,从而实现任意代码执行。
Windows远程桌面许可管理服务(Remote Desktop Licensing)通常在多用户登录场景下使用。在Windows操作系统中,普通情况下只允许一个用户通过远程桌面登录到计算机,但是通过远程桌面服务(Remote Desktop Services),可以实现多用户同时登录并使用计算机的功能,如堡垒机跳板机等。
在多用户登录场景下,每个用户需要拥有合法的远程桌面访问许可证才能登录和使用计算机。Remote Desktop Licensing服务就是用来管理这些许可证的分配、跟踪、更新和续订,确保每个用户都有合法的许可证来访问远程桌面。
要查询Windows是否启用了RDL服务,可以通过以下方法:
打开命令提示符(以管理员身份),然后输入以下命令:
如果服务正在运行,状态将显示为RUNNING。如果服务未启动,状态将显示为STOPPED
影响范围
该漏洞影响范围广泛,覆盖了从Windows Server 2000到Windows Server 2025的所有版本,时间跨度近30年。由于RDL服务被广泛部署在启用了远程桌面服务(端口3389)的服务器上,用于管理远程桌面连接许可,因此该漏洞的潜在受害者众多。攻击者无需任何前置条件,也无需用户交互(零点击),即可直接获取服务器最高权限,执行任意操作。微软官方评估与解决方案
尽管微软在公告中对该漏洞的可利用性评估为“被利用的可能性较小”,但鉴于其高评分和广泛影响,用户不应掉以轻心。微软已发布安全补丁,建议受影响的用户尽快通过官方渠道下载并安装补丁,以修复漏洞。自查与防护建议
为了帮助用户检测其系统是否受到CVE-2024-38077漏洞的影响,建议按照以下步骤进行自查:1.检查系统版本:打开命令提示符(以管理员身份),然后输入以下命令:
影响版本具体可参考https://www.cve.org/CVERecord?id=CVE-2024-38077
2.检查系统补丁:在“设置”-“更新与安全”-“Windows更新”-“更新历史”中检查是否存在对应的系统补丁。具体链接如下:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077此外,用户还应确保服务器安全配置,如关闭不必要的服务、限制远程访问权限等,以降低被攻击的风险。 
![[工具分享]高危漏洞狙击框架:woodpecker-framework](https://zhousa.com/zb_users/theme/quietlee/style/noimg/2.jpg "[工具分享]高危漏洞狙击框架:woodpecker-framework")
还没有评论,来说两句吧...