文章转自赛博昆仑:https://mp.weixin.qq.com/s/LH6Y6PRjOKyVMkbQgBDAOA
——前言
北京时间2024年8月9日上午9时许,昆仑实验室(Kunlun Lab)监测到国外网站上公开了微软Windows操作系统一个高危漏洞(CVE-2024-38077)的详情和概念验证代码。经分析确认,该漏洞获得CVSS 9.8的评分,是Windows平台近十年来罕见的可以稳定利用、影响广泛的远程零点击(Zero-Click)/认证前(Pre-Auth) 漏洞。研究人员针对该漏洞放出了稳定利用的验证视频并表示,这种漏洞已多年未曾出现。
由于漏洞涉及远程桌面授权服务(Remote Desktop License Service),研究者将其命名为MadLicense(狂躁许可),并表示还将进一步公开披露更多类似漏洞。在监测到相关信息后昆仑实验室迅速响应,在一个小时内确认了漏洞细节,并率先为昆仑“洞见”安全产品客户提供了独家的扫描侦测和热补丁修复防御能力。
该漏洞影响范围广泛,涉及Windows 2000后所有Windows服务器操作系统:包括广泛使用的Windows Server 2008 R2/2012/2016,甚至波及微软内部预览版本:提供了“下一代安全技术”的Windows Server 2025系统。
通过该漏洞,攻击者只须针对开启了相关服务的服务器发送特制数据包,即可完全控制目标系统,获得最高的SYSTEM权限,实现“低门槛、高回报”的攻击效果。上一个有如此影响力的Windows远程漏洞可能要追溯到2019年的BlueKeep(CVE-2019-0708)漏洞,相较BlueKeep,MadLicense的稳定性更高,且不受网络级身份验证(Network Level Authentication,NLA)的影响。
研究人员的全网扫描结果显示,公网上至少有17万台活跃的Windows服务器开启了相关服务,而内网中受影响的服务器数量可能更多。鉴于该漏洞已有成熟稳定的利用证明和公开的验证代码,我们预计攻击者可能迅速开发出完整的漏洞利用方案。更令人担忧的是,这可能引发类似"永恒之蓝"的蠕虫级攻击,导致大规模网络安全威胁。
"狂躁许可"(CVE-2024-38077)漏洞针对的是Windows操作系统的远程桌面授权服务。该服务为Remote Desktop Services(RDS,即常见的远程桌面服务)提供认证和授权,确保只有授权用户或设备可访问RDS。远程桌面授权服务广泛存在于启用远程桌面的机器上。
远程桌面默认仅允许两个同时会话,需购买许可证以启用更多会话。管理员在安装远程桌面(3389端口)时通常会选择安装远程桌面授权服务,导致许多开启3389端口的服务器同时启用了该服务。
安全研究员于2024年5月初向微软报告此漏洞,微软随后在7月的例行补丁日修复。鉴于漏洞的严重性和广泛影响,微软特别为已停止安全更新的系统(如Windows Server 2008/2008 R2/2012/2012 R2)提供了补丁。
值得注意的是,截至目前,微软官方补丁公告仍将该漏洞标记为"不太可能被利用"(Exploitation Less Likely)。然而,补丁发布后稳定利用的证明和验证代码的迅速出现,似乎印证了这一评估的不准确性。
微软的"可利用性分析"(Exploitability Assessment)通常是Windows、Office等产品用户安全团队和绝大多数第三方安全公司提供的漏洞情报的关键参考。但”狂躁许可“漏洞的案例凸显了仅依赖官方或开源情报可能存在的风险和”不靠谱“
独立的漏洞分析能力对实战级漏洞情报至关重要。赛博昆仑CERT的"昆仑漏洞情报服务"长期为关键基础设施和互联网公司提供独家的深度漏洞情报。这些情报由高级研究员独立分析,不受限于官方、互联网漏洞库等可靠性较低的开源情报,为应对漏洞攻击、紧急漏洞爆发和构建持久有效的防御基础体系提供可靠支持。
所有未安装2024年7月补丁的Windows服务器操作系统均受此漏洞影响。
服务检查:验证Remote Desktop Licensing服务是否启动,相关补丁是否未安装。
文件版本检查:查看lserver.dll文件版本,确定是否为易受攻击版本。
赛博昆仑"洞见"产品是基于独家漏洞知识库的综合安全解决方案,集主机安全、漏洞侦测、扫描、响应、加固及深度管理于一体。使用"洞见"的客户可直接通过平台扫描和侦测“狂躁许可”漏洞,并进行一键热修复,无需安装官方补丁、无需重启系统或进行额外配置。
对于无法安装补丁或不便重启的系统和应用,"洞见"提供实时、高效、稳定的漏洞发现、防御和修复能力,有效抵御高危Nday/1day及未知0day漏洞攻击。同目前常见的特定应用防护或虚拟补丁、内存或指令检测防护不同,凭借全球领先的独家漏洞库和广谱高效的修复技术,赛博昆仑不仅能应对常见企业级应用、办公网系统和软件的已知/未知漏洞,还能及时修复和防御如"狂躁许可"等操作系统级高危漏洞。
用户可参考微软安全公告,手动安装相关补丁。对于无法安装补丁的情况,微软建议采取以下缓解措施:如非必要,关闭Remote Desktop Licensing服务。注意:此操作将影响远程桌面授权认证和分发,可能导致远程桌面出现问题影响正常业务或降低远程桌面安全性。同时,微软公告中提出:即便采取了上述缓解措施,微软仍强烈建议尽快修复漏洞以全面防护系统。
鉴于相关漏洞的危险程度和影响范围,且相关利用证明、验证代码都已经被公开,可能很快会有大规模攻击和扫描的出现,昆仑实验室强烈建议相关用户尽快采取行动。用户可通过部署“洞见”产品实现自动检测和修复,或进行手动检查并及时修复漏洞,以封堵对应的安全风险。我们也将密切关注和监控相关高危漏洞的进一步发展和扩散情况,并通过赛博昆仑CERT和漏洞情报服务及时为客户同步最新威胁情报。
更多信息
#微软公告:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
#奇安信预警:
https://mp.weixin.qq.com/s/TsTtCY1UKeiVQNOID8wd0w
#深信服实验室:
https://mp.weixin.qq.com/s/kZUafwIat2qpj7JyRFrmHw
原文始发于微信公众号(黑域之路):3389又一高危漏洞——CVE-2024-38077
评论