|
漏洞概述 |
|||
|
漏洞名称 |
Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077) |
||
|
安恒CERT评级 |
1级 |
CVSS3.1评分 |
9.8 |
|
CVE编号 |
CVE-2024-38077 |
CNVD编号 |
CNVD-2024-3491 |
|
CNNVD编号 |
CNNVD-202407-738 |
安恒CERT编号 |
DM-202406-001541 |
|
POC情况 |
已发现 |
EXP情况 |
未发现 |
|
在野利用 |
未发现 |
研究情况 |
已复现 |
|
危害描述 |
该漏洞源于Windows RDL中(通常需要手动开启)的一个堆溢出问题。由于在解码用户输入的许可证密钥包时,未正确检验解码后数据长度与缓冲区大小之间的关系所导致的。攻击者可以通过精心构造的输入触发这个漏洞,并且在不需要用户交互的情况下完全控制受害者的服务器。 |
||
由于RDL服务在众多组织中广泛部署,且通常直接暴露在互联网上,受影响的潜在系统数量巨大。
安恒研究院卫兵实验室已复现此漏洞。
经验证,该漏洞在RDL服务开启下危害性极高,可能造成数据泄露、服务中断、系统瘫痪等后果,务必尽快自我排查修复。
Windows RDL远程代码执行漏洞(CVE-2024-38077)复现截图
漏洞信息
产品描述
漏洞危害等级:严重
漏洞类型:远程代码执行
影响范围
影响主体:
Windows Server2008for32-bit SystemsServicePack2WindowsServer2008for32-bit SystemsServicePack2(ServerCore installation)WindowsServer2008for x64-based SystemsServicePack2WindowsServer2008for x64-based SystemsServicePack2(ServerCore installation)WindowsServer2008 R2 for x64-based SystemsServicePack1WindowsServer2008 R2 for x64-based SystemsServicePack1(ServerCore installation)WindowsServer2012WindowsServer2012(ServerCore installation)WindowsServer2012 R2WindowsServer2012 R2 (ServerCore installation)WindowsServer2016WindowsServer2016(ServerCore installation)WindowsServer2019WindowsServer2019(ServerCore installation)WindowsServer2022WindowsServer2022(ServerCore installation)WindowsServer2022,23H2Edition(ServerCore installation)
CVSS向量
访问途径(AV):网络
攻击复杂度(AC):低
所需权限(PR):低
用户交互(UI):不需要用户交互
影响范围 (S):改变
机密性影响 (C):高
完整性影响 (l):高
可用性影响 (A):高
修复方案
官方修复方案:
目前微软针对支持的产品已发布升级补丁修复了上述漏洞,请用户参考官方通告及时下载更新补丁。
补丁获取:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
Windows 更新:
自动更新:Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
手动更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”。
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)。
3、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。
临时缓解方案:
如果您不需要系统上的远程桌面授权服务,请考虑将其禁用。禁用未使用和不需要的服务有助于减少您受到安全漏洞的影响。
排查方案:
研究院已提供自研远程检测工具,可放心使用,文末附获取方式。
产品支撑
明鉴漏扫系统(主机扫描)V1.0.3651.0及以上版本已支持检测。
参考资料
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077技术支持
如有针对该漏洞检测工具的需求请联系400-6059-110获取相关能力支撑。
原文始发于微信公众号(安恒信息CERT):【已复现,尽快排查修复】Windows RDL存在远程代码执行漏洞(CVE-2024-38077)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论