https://x.threatbook.com/v5/vul/XVE-2024-16782
经过初步分析,该漏洞成因是由于在解码许可密钥包时,未正确检验解码后的数据长度与缓冲区大小之间的关系,导致缓冲区溢出。攻击者无需任何权限,利用该漏洞即可实现远程代码执行。此漏洞影响较大,建议受影响的客户尽快修复。
值得注意的是,该漏洞完整漏洞PoC暂未公开。微步情报局目前监测到所谓的公开PoC,经过验证为假(具体链接见文末)。建议用户谨慎下载,更不要随意运行!
由于目前正值演练期间,攻击者很可能利用该事件进行后续钓鱼攻击,建议企业对于收到的可疑样本提交到微步云沙箱S进行分析鉴定。
经过对该漏洞的初步分析,结论如下:
3. 根据国外网站的漏洞利用视频,该漏洞利用稳定性可能很高。
|
基本信息
|
微步编号
|
XVE-2024-16782 |
| 漏洞类型 |
远程代码执行 | |
|
利用条件评估
|
利用漏洞的网络条件
|
远程 |
|
是否需要绕过安全机制
|
不需要 | |
|
对被攻击系统的要求
|
需开启RDL服务(默认不开启) | |
|
利用漏洞的权限要求
|
无需任何权限 | |
|
是否需要受害者配合
|
不需要 |
|
|
利用情报
|
POC是否公开
|
否 |
| 微步已捕获攻击行为 |
否 |
官方修复方案:
-
使用Windows自动更新功能,更新补丁 -
无法自动更新补丁的系统,官方已发布补丁: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
临时修复方案:
https://github.com/CloudCrowSec001/CVE-2024-38077-POC
原文始发于微信公众号(微步在线研究响应中心):Windows Server 远程桌面授权服务 RDL曝高危漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论