标题: 微软RDL服务极危远程代码执行漏洞(CVE-2024-38077)服务器查抄指南 [打印本页] 作者: 徐锦洪 时间: 2024-9-13 02:44 标题: 微软RDL服务极危远程代码执行漏洞(CVE-2024-38077)服务器查抄指南 一、漏洞描述
克日,奇安信安全CERT监测到微软官方修复Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077),该漏洞存在于Windows远程桌面许可管理服务(RDL)中,攻击者无需任何权限即可实现远程代码执行,获取服务器最高权限。由于在解码用户输入的许可密钥包时,未精确检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区溢出 。该漏洞影响Windows Server 2000到Windows Server 2025所有版本。
二、漏洞公开环境目前互联网上公开的部门POC验证无效,完备的POC代码已发现。已有利用成功的公开。
三、影响版本
Windows Server 2012 R2 (Server Core installation)Windows Server 2012 R2Windows Server 2012 (Server Core installation)Windows Server 2012Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)Windows Server 2008 for x64-based Systems Service Pack 2Windows Server 2008 for x64-based Systems Service Pack 2Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)Windows Server 2008 for 32-bit Systems Service Pack 2Windows Server 2008 for 32-bit Systems Service Pack 2Windows Server 2016 (Server Core installation)Windows Server 2016Windows Server 2022, 23H2 Edition (Server Core installation)Windows Server 2022 (Server Core installation)Windows Server 2022Windows Server 2019 (Server Core installation)Windows Server 2019
四、漏洞利用及影响环境
1、该漏洞存在于Windows远程桌面许可管理服务(RDL)中,攻击者无需任何权限即可实现远程代码执行,获取服务器最高权限。
2、系统在默认环境不会安装RDL服务,RDL即是Remote Desktop Licensing Service,需要安装远程桌面许可服务RDL组件,用于3389端口上,需要手动√才安装。
3、目前漏洞攻击利用,对于不存在RDL服务的服务器,攻击不成功。
4、互联网网络空间测绘RDL暴露环境,15万+。5、值得留意,该漏洞不影响平凡的PC,只对Windows Server 系统有影响。远程桌面服务开启环境。
五、漏洞排查
1、登录Windows Server 服务器 运行 cmd 打开命令窗口 输入 sc queryex 获取系统服务Remote Desktop Licensing 、TermServLicensing开启状态
2、查抄服务 是否有 Remote Desktop Licensing 、TermServLicensing 在运行,如果有请列出该主机IP。查抄服务器是否需要需要该服务,不需使用时应马上停止服务,单独安装补丁。
六、安全建议
1、安装补丁,下载得当系统版本的补丁举行安装并重启服务器,下载链接https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-380772、限礼服务器3389端口远程连接源IP地址,可缩小风险范围
3、停止或卸载RDL服务。
4、严禁将3389暴露在互联网环境,网络出口装备查抄网络端口映射环境。
5、关闭远程桌面授权,但关闭远程桌面授权,RDP远程会话会收到限制。限制为2个会话之内。