漏洞响应
CVE-2024-38077
CVE-2024-38077(MadLicense) 漏洞详情
撰写日期: 2024-08-09
需知: 本情报本着准确、真实的原则进行了信息收集和复现,但仍不 100% 准确,详细信息请参考文末参考链接原文,本文仅供参考
简介
CVE-2024-38077 是一个严重的远程代码执行漏洞,影响 Windows Remote Desktop Licensing Service(RDLS)。该漏洞被命名为“MadLicense”,攻击者可以在未经身份验证的情况下,通过发送特制的网络数据包,远程执行任意代码。
什么是 RDL
远程桌面许可 (RDL) 服务远程桌面许可服务是 Windows Server 的一个组件,用于管理和颁发远程桌面服务的许可证,确保对远程应用程序和桌面的安全且合规的访问。RDL 服务广泛部署在启用了远程桌面服务的机器上。默认情况下,远程桌面服务仅允许同时使用两个会话。要启用多个同时会话,您需要购买许可证。RDL 服务负责管理这些许可证。RDL 被广泛安装的另一个原因是,在 Windows 服务器上安装远程桌面服务 (3389) 时,管理员通常会勾选安装 RDL 的选项。这导致许多启用了 3389 的服务器也启用了 RDL 服务。在审计 RDL 服务之前,我们进行了网络扫描,以确定 RDL 服务在互联网上的部署情况。我们发现至少有 17 万个活跃的 RDL 服务直接暴露在公共互联网上,而内部网络中的数量无疑要大得多。此外,RDL 服务通常部署在关键业务系统和远程桌面集群中,因此 RDL 服务中的预认证 RCE 漏洞对网络世界构成了重大威胁。
影响版本
Windows Server2008 SP2
WindowsServer2008 R2 SP1
WindowsServer2012和2012 R2
WindowsServer2016
WindowsServer2019
WindowsServer 2022具体的受影响版本包括但不限于以下版本:
Windows Server 2019 版本低于 10.0.17763.6054
Windows Server 2022 版本低于 10.0.20348.2582建议立即应用 Microsoft 发布的补丁以减少风险。更多信息及官方修复措施可参考文末参考链接
复现
https://github.com/qi4L/CVE-2024-38077
基于伪代码后修复的代码。
使用:
options:
-h,--help show this help message andexit
--target_ip TARGET_IP
Target IP, eg:192.168.120.1
--evil_ip EVIL_IP Evil IP, eg:192.168.120.2
--evil_dll_path EVIL_DLL_PATH
Evil dll path, eg: smbevil_dll.dll
--check_vuln_exist CHECK_VULN_EXIST
Check vulnerability exist before exploit网传情报细节
-
• https://github.com/CloudCrowSec001/CVE-2024-38077-POC
-
• 此情报为漏洞发现者外网文章翻译而来,项目中所述漏洞为真
-
• POC 为真,但不能直接使用,为伪代码
-
• 深信服 CVE-2024-38077 漏洞扫描工具.exe
-
• MD5:
4ecafa0e02db8956b1fde28f9a3c0b15 -
• SHA256:
1bf3a372f95c4f5b2d776c6abb1e9bca51933c3f57415c77a659082c29ef61d3 -
• 此工具为深信服内部检测工具流出
-
• 实测有扫描能力
-
• 未发现外联行为,未发现可疑行为
-
• 有组织利用此 exe 进行钓鱼攻击
-
• https://sites.google.com/site/zhiniangpeng/blogs/MadLicense
-
• 已经被作者删除
时间线梳理
2024 年 5 月 1 日 深信服安全研究员彭峙酿向 Microsoft 报告此案例
2024 年 7 月 1 日 告诉微软此案可利用
2024 年 7 月 9 日修复为 CVE-2024-38077(标记为 Microsoft 不太可能利用)
2024 年 8 月 2 日 将本文发送至 Microsoft
2024 年 8 月 9 日 微软尚未对本文做出回应
2024 年 8 月 9 日 文章发布
受影响组件详情
原文
-
• Remote Desktop Licensing (RD Licensing), formerly Terminal Services Licensing (TS Licensing), is a role service in the Remote Desktop Services server role included with Windows Server 2008 R2. RD Licensing manages the Remote Desktop Services client access licenses (RDS CALs) that are required for each device or user to connect to a Remote Desktop Session Host (RD Session Host) server. You use Remote Desktop Licensing Manager (RD Licensing Manager) to install, issue, and track the availability of RDS CALs on a Remote Desktop license server.
翻译
-
• 远程桌面授权 (RD 授权),以前称为终端服务授权 (TS 授权),是 Windows Server 2008 R2 附带的远程桌面服务服务器角色中的一个角色服务。RD 授权管理每个设备或用户连接到远程桌面会话主机 (RD 会话主机) 服务器所需的远程桌面服务客户端访问许可证 (RDS CAL)。您可以使用远程桌面授权管理器 (RD 授权管理器) 在远程桌面授权服务器上安装、颁发和跟踪 RDS CAL 的可用性。
一线分析
-
• 以下内容含有一线人员的情况分析和主观理解,相较于官方发布的文章可信度较低,但也较能反映国内安全服务甲方的真实环境和常见一线问题,请自行甄别。
Remote Desktop Licensing (RDL)服务在国内政企并不常见,它的主要作用为对用户权限认证过程进行增强(CAL),所有需要连接的远程桌面服务客户端都需要存有 CAL 才可登录,可以理解为在传统认证机制外增加白名单机制,并且因为有 CAL 数量限制的因素,有“反盗版”功能在其中。
但即使不常见,也建议关闭对外的 3389 以及 135 端口。
受影响组件互联网暴露规模
-
• 至少有 17 万活跃的 RDLS 直接暴露公共互联网
详细信息
-
• 漏洞编号: CVE-2024-38077
-
• 参考链接:
-
• https://sites.google.com/site/zhiniangpeng/blogs/MadLicense
-
• https://github.com/CloudCrowSec001/CVE-2024-38077-POC?tab=readme-ov-file
-
• https://github.com/qi4L/CVE-2024-38077
-
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
-
• https://nvd.nist.gov/vuln/detail/CVE-2024-38077
-
• https://learn.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/dd560655(v=ws.10)
-
• https://www.rapid7.com/db/vulnerabilities/msft-cve-2024-38077/
-
• https://sites.google.com/site/zhiniangpeng/
加入重保情报群,了解重保最新消息!
原文始发于微信公众号(花果山讲安全):漏洞响应(CVE-2024-38077)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论