|
|
||
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Windows Remote Desktop Licensing Service(RDL)是Windows Server的一个组件,用于控制和管理远程桌面会话的许可,确保只有拥有有效许可的用户才能通过远程桌面协议(RDP)连接到服务器。
2024年7月10日,启明星辰集团VSRC监测到微软7月安全更新修复了Windows Remote Desktop Licensing Service远程代码执行漏洞(CVE-2024-38077,被称为“MadLicense”),该漏洞的CVSS评分为9.8。
Windows 远程桌面授权服务中存在堆缓冲区溢出漏洞,由于在解码用户输入的许可密钥包时缺乏正确的缓冲区大小检查,导致解码后出现缓冲区溢出,当Windows Server开启远程桌面授权服务(非默认启用)时,未经身份验证的威胁者可发送恶意消息利用该漏洞,成功利用可能导致远程代码执行。
二、影响范围
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
三、安全措施
3.1 升级版本
目前微软已发布了该漏洞的安全更新,建议受影响的用户尽快修复。
(一) Windows Update自动更新
Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。也可选择通过以下步骤手动进行更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统自动检查并下载可用更新。
4、更新完成后重启计算机,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
(二) 手动安装更新
Microsoft官方下载相应补丁进行更新。
下载链接:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38077
3.2 临时措施
该漏洞会影响启用了Windows Remote Desktop Licensing Service的Windows Server,Windows PC不受影响。
1.默认情况下,Windows Server 不会安装 Remote Desktop Licensing 服务,可通过验证Remote Desktop Licensing服务是否启动,相关补丁是否未安装来判断是否易受该漏洞影响。
如非必要,可禁用Remote Desktop Licensing服务作为缓解措施,但这可能会影响远程桌面某些功能(可能不会直接导致RDP连接失败,但由于授权验证的缺失,可能会引发其他与授权相关的错误或问题)。此外,Microsoft建议受影响用户安装该漏洞的安全更新,即使计划禁用Remote Desktop Licensing服务。
2.此外,可通过查看lserver.dll(Windows 远程桌面授权服务器的一个关键组件,通常位于C:WindowsSystem32lserver.dll)文件版本,参考下表确定是否为易受攻击版本,可使用以下多种方式查看该文件版本:
l文件属性查看,找到C:WindowsSystem32lserver.dll,右键点击 lserver.dll 文件,选择“属性”,在属性窗口中,点击“详细信息”选项卡,在“详细信息”选项卡下,可看到“文件版本”和“产品版本”信息。
l使用Powershell查看文件版本,PowerShell中执行以下命令:
(Get-Item "C:WindowsSystem32lserver.dll").VersionInfo
l在CMD 中调用PowerShell命令来获取文件版本信息:
powershell -command "(Get-Item 'C:\Windows\System32\lserver.dll').VersionInfo.FileVersion"
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
3.4 参考链接
https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38077
https://sites.google.com/site/zhiniangpeng/blogs/MadLicense
原文始发于微信公众号(启明星辰安全简讯):【漏洞通告】Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论