来事了——微软RDL服务远程代码执行漏洞

1.1漏洞详情

1.1.1RDL

远程桌面许可服务是 Windows Server 的一个组件，用于管理和颁发远程桌面服务的许可证，确保对远程应用程序和桌面的安全且合规的访问。RDL 服务广泛部署在启用了远程桌面服务的机器上。默认情况下，远程桌面服务仅允许同时使用两个会话。要启用多个同时会话，您需要购买许可证。RDL 服务负责管理这些许可证。RDL 被广泛安装的另一个原因是，在Windows 服务器上安装远程桌面服务 (3389) 时，管理员通常会勾选安装 RDL 的选项。这导致许多启用了 3389 的服务器也启用了 RDL 服务。目前不少于17万个活跃的RDL服务直接暴露在公共互联网上，而内部网络中的数量无疑要大得多。此外，RDL服务通常部署在关键业务系统和远程桌面集群中，因此RDL服务中的预认证RCE漏洞对网络世界构成了重大威胁。

Windows 远程桌面授权服务（RDL）是一个用于管理远程桌面服务许可证的组件，确保对远程桌面连接的合法性。该服务被广泛部署于开启了Windows远程桌面服务（3389端口）的服务器上，但漏洞的利用不是通过3389端口，需要先连接135端口发送访问请求，然后服务器给出一个连接RDL服务的动态高端口，再连接访问，如果服务器对外不开放135端口则不可利用。注意：RDL服务并非默认启用，但出于扩展功能等目的，许多管理员会手动启用它，例如增加远程桌面会话的数量。在一些特定的场景中，如堡垒机和云桌面VDI环境，RDL服务的启用也是必需的。

1.1.2漏洞情况

2024年7月9日，微软官方发布了一个针对“windows远程桌面授权服务远程代码执行漏洞”（CVE-2024-38077）的修复补丁包，起初并没有引起大家的警觉。在国外某网站上疑似漏洞的作者公开了该漏洞的“POC验证代码”。一时激起千层浪，该漏洞开始疯狂发酵并在安全圈里转发。

该文章的原文链接为：

https://sites.google.com/site/zhiniangpeng/blogs/MadLicense

链接里也附上了漏洞验证视频：

https://www.youtube.com/watch?v=OSYOrRS2k4A&t=8s

Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)，该漏洞存在于Windows远程桌面许可管理服务（RDL）中，成功利用该漏洞的攻击者可以实现远程代码执行，获取目标系统的控制权，可能导致敏感数据的泄露、以及可能的恶意软件传播。该漏洞影响所有启用 RDL 服务的 Windows Server服务器，特别是未及时更新 2024 年 7 月微软最新安全补丁的系统。

1.1.3 微软7月修复RDP相关漏洞

1.2024年7月，我们报告的以下7个与RDP相关的漏洞已被Microsoft修复：

CVE-2024-38077：Windows 远程桌面授权服务远程代码执行漏洞

CVE-2024-38076：Windows 远程桌面授权服务远程代码执行漏洞

CVE-2024-38074：Windows 远程桌面授权服务远程代码执行漏洞

CVE-2024-38073：Windows 远程桌面许可服务拒绝服务漏洞

CVE-2024-38072：Windows 远程桌面授权服务拒绝服务漏洞

CVE-2024-38071：Windows 远程桌面许可服务拒绝服务漏洞

CVE-2024-38015：Windows 远程桌面网关（RD 网关）拒绝服务漏洞

其中，Windows 远程桌面授权服务中的 3 个 CVSS 评分为 9.8 的 RCE 漏洞值得关注。

1.2漏洞排查

1.2.1检查是否安装ADL

在 Windows Server 上，您可以通过以下方法检查是否启用了远程桌面许可服务（Remote Desktop Licensing, RDL）：

1. 检查远程桌面许可服务是否安装并运行

（1）打开“服务”管理工具

按 Windows + R 打开运行对话框，输入 services.msc 并按 Enter，查找远程桌面许可服务。在“服务”列表中查找“Remote Desktop Licensing”服务（在某些版本中可能显示为“Remote Desktop Licensing”或类似名称）。确认该服务是否正在运行。如果服务的状态为“正在运行”，则表示该服务已启用。

2. 检查远程桌面许可管理器

打开远程桌面许可管理器，按 Windows + R 打开运行对话框。输入 licmgr.exe 并按 Enter。这将打开远程桌面许可管理器。在远程桌面许可管理器中，查看“许可”部分，检查是否有配置和管理的远程桌面许可。确认是否已经配置了许可证服务器以及许可证的状态。

3. 使用“服务器管理器”

在“服务器管理器”中，选择“角色和功能”。检查是否列出“远程桌面服务”。如果远程桌面服务安装了，可能会看到相关的角色和功能。查看“远程桌面服务”角色。

4. 使用 PowerShell

（1）打开 PowerShell（以管理员身份）

按 Windows + X，然后选择“Windows PowerShell (管理员)”（或“命令提示符 (管理员)”）。

（2）运行以下 PowerShell 命令来查看远程桌面许可服务的状态

Get-Service -Name TermService

这将返回服务的状态。TermService 服务表示远程桌面服务，如果该服务正在运行，则表明远程桌面功能已启用。

（3）检查远程桌面许可服务配置

运行以下命令以获取远程桌面服务的配置：

Get-WmiObject Win32_Process | Where-Object { $_.Name -eq 'svchost.exe' } | Select-Object CommandLine

这将显示远程桌面许可配置的详细信息，包括许可服务器和许可类型，如果没有安装，则显示如下图信息所示。

1.2.2 通过进程进行排查

1.青藤云进程查看

青藤云主机进程检测中检查svchost进程中是否包含“-k TSLicensing”。

2.Dos命令下tasklist查看svchost加载的服务

tasklist /svc /fi "imagename eq svchost.exe"

3.通过wmic查看

wmic process where "name='svchost.exe'" get commandline

或者直接用以下命令查看，如果有结果则证明开启了RDL服务。

wmic process where "name='svchost.exe'" get commandline | find "-k TSLicensing"

4.使用 PowerShell检查svchost进程

Get-WmiObject Win32_Process | Where-Object { $_.Name -eq 'svchost.exe' } | Select-Object CommandLine

1.3漏洞修复

1.3.1获取系统当前信息及版本

1.通过systeminfo 获取当前系统的版本

1.3.2 微软官方查询

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

1.3.3下载对应版本的程序

https://catalog.s.download.windowsupdate.com/c/msdownload/update/software/secu/2024/07/windows6.1-kb5040498-x64_71ee53540b4244e86bd799297fb410595199b38a.msu