不要谈洞色变:Windows Server远程桌面授权服务(RDL)远程代码执行漏洞

admin
admin
admin
138635
文章
114
评论
2024年8月11日10:55:07评论207 views字数 2175阅读7分15秒阅读模式

关注兰花豆说网络安全,了解更多网络安全知识

不要谈洞色变:Windows Server远程桌面授权服务(RDL)远程代码执行漏洞

继微软蓝屏事件之后,Windows Server远程桌面授权服务(RDL)远程代码执行漏洞这几天又火起来了,各大网络安全公司和安全自媒体都在宣传该漏洞的危害,事实上影响范围真有那么广吗?影响程度有那么深吗?

首先我们要理解RDP、RDS、RDL三个概念,RDP是微软公司发明的远程桌面协议并内置windows系统中;RDS可以说成是RDP升级版本的远程桌面服务;RDL是远程桌面授权,可管理连接到远程桌面会话主机服务器或虚拟桌面所需的许可证,可以使用RDL来安装、颁发许可证,以及跟踪许可证的可用性。

一、远程桌面授权RDL介绍

Windows Server系统默认远程桌面连接数是2个用户,如果多于2个用户进行远程桌面连接时,系统就会提示超过连接数,但可以通过配置远程桌面服务并确保许可证和授权允许多用户连接的方法来解决,通过配置之后,多于2个用户的可以使用120天,超过120天,就需要购买许可。以Windows Server 2022为例,如下图所示:

1.安装远程桌面授权

不要谈洞色变:Windows Server远程桌面授权服务(RDL)远程代码执行漏洞

不要谈洞色变:Windows Server远程桌面授权服务(RDL)远程代码执行漏洞

2.安装许可证之后,支持2个以上用户,免费使用120天。

不要谈洞色变:Windows Server远程桌面授权服务(RDL)远程代码执行漏洞

3.免费使用120天之后,需要购买许可。

不要谈洞色变:Windows Server远程桌面授权服务(RDL)远程代码执行漏洞

二、漏洞影响情况

Windows Server远程桌面授权服务(RDL)远程代码执行漏洞主要涉及CVE-2024-38077、CVE-2024-38074和CVE-2024-38076这三个漏洞,CVE-2024-38077漏洞涉及15个产品,CVE-2024-38074漏洞涉及12个产品,CVE-2024-38076涉及6个产品。所有涉及的产品、平台、版本如下所示:

序号

产品

平台

版本

1

Windows Server 2019

x64

10.0.0至10.0.17763.6054

2

Windows Server 2019 (Server Core installation)

x64

10.0.0至10.0.17763.6054

3

Windows Server 2022

x64

10.0.0至10.0.20348.2582

4

Windows Server 2022, 23H2 Edition (Server Core installation)

x64

10.0.0至10.0.25398.1009

5

Windows Server 2016

x64

10.0.0至10.0.14393.7159

6

Windows Server 2016 (Server Core installation)

x64

10.0.0至10.0.14393.7159

7

Windows Server 2008 Service Pack 2

32

6.0.0至6.0.6003.22769

8

Windows Server 2008 Service Pack 2 (Server Core installation)

32或x64

6.0.0至6.0.6003.22769

9

Windows Server 2008 Service Pack 2

x64

6.0.0至6.0.6003.22769

10

Windows Server 2008 R2 Service Pack 1

x64

6.1.0至6.1.7601.27219

11

Windows Server 2008 R2 Service Pack 1 (Server Core installation)

x64

6.0.0至6.1.7601.27219

12

Windows Server 2012

x64

6.2.0至6.2.9200.24975

13

Windows Server 2012 (Server Core installation)

x64

6.2.0至6.2.9200.24975

14

Windows Server 2012 R2

x64

6.3.0至6.3.9600.22074

15

Windows Server 2012 R2 (Server Core installation)

x64

6.3.0至6.3.9600.22074

以上涉及的3个漏洞的CVSS评分均为9.8,详情如下所示,漏洞评分只是表明漏洞的严重程度,但并不能说明面临的威胁和风险。

不要谈洞色变:Windows Server远程桌面授权服务(RDL)远程代码执行漏洞

如果发现以上产品及版本,并安装了RDL且启动了RDL的服务,均有可能被利用成功。

三、缓解措施

1.关闭RDL服务,不需要关闭RDS服务。

不要谈洞色变:Windows Server远程桌面授权服务(RDL)远程代码执行漏洞

2.使用堡垒机进行远程运维。

四、修复措施

根据微软MSRC发布的信息进行补丁升级。链接如下所示:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38074

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38076

五、总结

这个漏洞已经公布将近一个月了,总体来说危害不大,但是被国内炒作得很吓人,很多媒体断章取义,导致很多人以为是RDP/RDS的漏洞,其实是远程桌面授权RDL服务漏洞。遇到这种情况,还是建议去CVE官网和微软MSRC了解漏洞的来龙去脉,不能人云亦云。同时也应当以专业的角度给客户做好检查和解释,只有这样才能体现专业性。

原文始发于微信公众号(兰花豆说网络安全):不要谈洞色变:Windows Server远程桌面授权服务(RDL)远程代码执行漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月11日10:55:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   不要谈洞色变:Windows Server远程桌面授权服务(RDL)远程代码执行漏洞https://cn-sec.com/archives/3054135.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息