【漏洞通告】Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)

admin 2024年8月10日12:18:23评论30 views字数 4396阅读14分39秒阅读模式
一、漏洞概述
漏洞名称
Windows Remote Desktop Licensing  Service远程代码执行漏洞
CVE   ID
CVE-2024-38077
漏洞类型
缓冲区溢出
发现时间
2024-07-10
漏洞评分
9.8
漏洞等级
严重
攻击向量
网络
所需权限
利用难度
用户交互
PoC/EXP
未公开
在野利用
未发现

Windows Remote Desktop Licensing Service(RDL)是Windows Server的一个组件,用于控制和管理远程桌面会话的许可,确保只有拥有有效许可的用户才能通过远程桌面协议(RDP)连接到服务器。

2024年7月10日,启明星辰集团VSRC监测到微软7月安全更新修复了Windows Remote Desktop Licensing Service远程代码执行漏洞(CVE-2024-38077,被称为“MadLicense”),该漏洞的CVSS评分为9.8。

Windows 远程桌面授权服务中存在堆缓冲区溢出漏洞,由于在解码用户输入的许可密钥包时缺乏正确的缓冲区大小检查,导致解码后出现缓冲区溢出,当Windows Server开启远程桌面授权服务(非默认启用)时,未经身份验证的威胁者可发送恶意消息利用该漏洞,成功利用可能导致远程代码执行。

二、影响范围

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

三、安全措施

3.1 升级版本

目前微软已发布了该漏洞的安全更新,建议受影响的用户尽快修复。

(一) Windows Update自动更新

Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。也可选择通过以下步骤手动进行更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”

2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)

3、选择“检查更新”,等待系统自动检查并下载可用更新。

4、更新完成后重启计算机,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。

(二) 手动安装更新

Microsoft官方下载相应补丁进行更新。

下载链接:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38077

3.2 临时措施

该漏洞会影响启用了Windows Remote Desktop Licensing Service的Windows Server,Windows PC不受影响。

1.默认情况下,Windows Server 不会安装 Remote Desktop Licensing 服务,可通过验证Remote Desktop Licensing服务是否启动,相关补丁是否未安装来判断是否易受该漏洞影响。

如非必要,可禁用Remote Desktop Licensing服务作为缓解措施,但这可能会影响远程桌面某些功能(可能不会直接导致RDP连接失败,但由于授权验证的缺失,可能会引发其他与授权相关的错误或问题)。此外,Microsoft建议受影响用户安装该漏洞的安全更新,即使计划禁用Remote Desktop Licensing服务。

2.此外,可通过查看lserver.dll(Windows 远程桌面授权服务器的一个关键组件,通常位于C:WindowsSystem32lserver.dll)文件版本,参考下表确定是否为易受攻击版本,可使用以下多种方式查看该文件版本:

l文件属性查看,找到C:WindowsSystem32lserver.dll,右键点击 lserver.dll 文件,选择“属性”,在属性窗口中,点击“详细信息”选项卡,在“详细信息”选项卡下,可看到“文件版本”和“产品版本”信息。

l使用Powershell查看文件版本,PowerShell中执行以下命令:

(Get-Item "C:WindowsSystem32lserver.dll").VersionInfo

l在CMD 中调用PowerShell命令来获取文件版本信息:

powershell -command "(Get-Item 'C:\Windows\System32\lserver.dll').VersionInfo.FileVersion"

受影响系统
平台
受影响版本
不受影响版本
Windows Server 2019
x64-based Systems
10.0.0 - 10.0.17763.6054之前
10.0.17763.6054
Windows Server 2019 (Server Core installation)
x64-based Systems
10.0.0 -10.0.17763.6054之前
10.0.17763.6054
Windows Server 2022
x64-based Systems
10.0.0 -10.0.20348.2582之前
10.0.20348.2582
Windows Server 2022,23H2 Edition (Server Core  installation)
x64-based Systems
10.0.0 - 10.0.25398.1009之前
10.0.25398.1009
Windows Server 2016
x64-based Systems
10.0.0 -10.0.14393.7159之前
10.0.14393.7159
Windows Server 2016 (Server Core installation)
x64-based Systems
10.0.0 -10.0.14393.7159之前
10.0.14393.7159
Windows Server 2008 Service Pack 2
32-bit Systems
6.0.0 - 6.0.6003.22769之前
6.0.6003.22769
Windows Server 2008 Service Pack 2 (Server Core  installation)
32-bit Systems、x64-based Systems
6.0.0 - 6.0.6003.22769之前
6.0.6003.22769
Windows Server 2008 Service Pack 2
x64-based Systems
6.0.0 - 6.0.6003.22769之前
6.0.6003.22769
Windows Server 2008 R2 Service Pack 1
x64-based Systems
6.1.0 - 6.1.7601.27219之前
6.1.7601.27219
Windows Server 2008 R2 Service Pack 1 (Server Core  installation)
x64-based Systems
6.0.0 - 6.1.7601.27219之前
6.1.7601.27219
Windows Server 2012
x64-based Systems
6.2.0 - 6.2.9200.24975之前
6.2.9200.24975
Windows Server 2012 (Server Core installation)
x64-based Systems
6.2.0 - 6.2.9200.24975之前
6.2.9200.24975
Windows Server 2012 R2
x64-based Systems
6.3.0 - 6.3.9600.22074之前
6.3.9600.22074
Windows Server 2012 R2 (Server Core installation)
x64-based Systems
6.3.0 - 6.3.9600.22074之前
6.3.9600.22074

3.3 通用建议

定期更新系统补丁,减少系统漏洞,提升服务器的安全性。

加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。

使用企业级安全产品,提升企业的网络安全性能。

加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38077

https://sites.google.com/site/zhiniangpeng/blogs/MadLicense

原文始发于微信公众号(启明星辰安全简讯):【漏洞通告】Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月10日12:18:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)http://cn-sec.com/archives/3049864.html

发表评论

匿名网友 填写信息