漏洞概述
漏洞名稱 Windows 遠(yuǎn)程桌面授權(quán)服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞
漏洞編號(hào) QVD-2024-25692,CVE-2024-38077
公開(kāi)時(shí)間 2024-07-09 影響對(duì)象數(shù)量級(jí) 千萬(wàn)級(jí)
奇安信評(píng)級(jí) 高危 CVSS 3.1分?jǐn)?shù) 9.8
威脅類(lèi)型 代碼執(zhí)行 利用可能性
POC狀態(tài) 已公開(kāi) 在野利用狀態(tài) 未知
EXP狀態(tài) 未公開(kāi) 技術(shù)細(xì)節(jié)狀態(tài) 已公開(kāi)
危害描述:未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,導(dǎo)致開(kāi)啟了遠(yuǎn)程桌面許可服務(wù)的Windwos服務(wù)器完全淪陷。

01?漏洞詳情

影響組件

Windows Server 是由微軟開(kāi)發(fā)的操作系統(tǒng)系列,專為服務(wù)器環(huán)境設(shè)計(jì),用于管理網(wǎng)絡(luò)、數(shù)據(jù)存儲(chǔ)和應(yīng)用程序的運(yùn)行。它為企業(yè)和組織提供了穩(wěn)定、可靠的服務(wù)器平臺(tái),支持各種規(guī)模的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

漏洞描述

近日,奇安信CERT監(jiān)測(cè)到官方修復(fù)Windows 遠(yuǎn)程桌面授權(quán)服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2024-38077),該漏洞存在于Windows遠(yuǎn)程桌面許可管理服務(wù)(RDL)中,攻擊者無(wú)需任何權(quán)限即可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,獲取服務(wù)器最高權(quán)限。由于在解碼用戶輸入的許可密鑰包時(shí),未正確檢驗(yàn)解碼后數(shù)據(jù)長(zhǎng)度與緩沖區(qū)大小之間的關(guān)系,導(dǎo)致緩沖區(qū)溢出 。該漏洞影響Windows Server 2000到Windows Server 2025所有版本,RDL服務(wù)不是默認(rèn)安裝,但很多管理員會(huì)手工開(kāi)啟。若漏洞被APT組織利用,可能快速蔓延,波及全球使用微軟服務(wù)器的用戶。鑒于此漏洞影響范圍較大,建議客戶盡快做好自查及防護(hù)。

02?影響范圍

影響版本

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

其他受影響組件

無(wú)

03?處置建議

安全更新

使用奇安信天擎的客戶可以通過(guò)奇安信天擎控制臺(tái)一鍵更新修補(bǔ)相關(guān)漏洞,也可以通過(guò)奇安信天擎客戶端一鍵更新修補(bǔ)相關(guān)漏洞。

也可以采用以下官方解決方案及緩解方案來(lái)防護(hù)此漏洞:

Windows自動(dòng)更新

Windows系統(tǒng)默認(rèn)啟用 Microsoft Update,當(dāng)檢測(cè)到可用更新時(shí),將會(huì)自動(dòng)下載更新并在下一次啟動(dòng)時(shí)安裝。還可通過(guò)以下步驟快速安裝更新:

1、點(diǎn)擊“開(kāi)始菜單”或按Windows快捷鍵,點(diǎn)擊進(jìn)入“設(shè)置”

2、選擇“更新和安全”,進(jìn)入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通過(guò)控制面板進(jìn)入“Windows更新”,步驟為“控制面板”-> “系統(tǒng)和安全”->“Windows更新”)

3、選擇“檢查更新”,等待系統(tǒng)將自動(dòng)檢查并下載可用更新

4、重啟計(jì)算機(jī),安裝更新

系統(tǒng)重新啟動(dòng)后,可通過(guò)進(jìn)入“Windows更新”->“查看更新歷史記錄”查看是否成功安裝了更新。對(duì)于沒(méi)有成功安裝的更新,可以點(diǎn)擊該更新名稱進(jìn)入微軟官方更新描述鏈接,點(diǎn)擊最新的SSU名稱并在新鏈接中點(diǎn)擊“Microsoft 更新目錄”,然后在新鏈接中選擇適用于目標(biāo)系統(tǒng)的補(bǔ)丁進(jìn)行下載并安裝。

手動(dòng)安裝補(bǔ)丁

另外,對(duì)于不能自動(dòng)更新的系統(tǒng)版本,可參考以下鏈接下載適用于該系統(tǒng)的補(bǔ)丁并安裝:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

04?參考資料

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

聲明:本文來(lái)自奇安信 CERT,稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場(chǎng),轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán),請(qǐng)聯(lián)系rhliu@skdlabs.com,我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。