近期，微軟披露最新的遠(yuǎn)程代碼執(zhí)行超高危漏洞CVE-2024-38077， CVSS評(píng)分高達(dá)9.8 ，可導(dǎo)致開(kāi)啟了遠(yuǎn)程桌面許可服務(wù)的Windwos服務(wù)器完全淪陷。漏洞影響Windows Server 2000到Windows Server 2025所有版本，已存在近30年。該漏洞可穩(wěn)定利用、可遠(yuǎn)控、可勒索、可蠕蟲等，破壞力極大，攻擊者無(wú)須任何權(quán)限即可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

這一漏洞存在于Windows遠(yuǎn)程桌面許可管理服務(wù)（RDL）中，該服務(wù)被廣泛部署于開(kāi)啟Windows遠(yuǎn)程桌面（3389端口）的服務(wù)器，用于管理遠(yuǎn)程桌面連接許可。攻擊者無(wú)需任何前置條件，無(wú)需用戶交互（零點(diǎn)擊）便可直接獲取服務(wù)器最高權(quán)限，執(zhí)行任意操作。

 

<微軟官網(wǎng)公告>

一旦漏洞被惡意攻擊者或APT組織利用，將快速蔓延，或波及全球所有使用微軟服務(wù)器的用戶。這是自“永恒之藍(lán)”后，Windows首次出現(xiàn)影響全版本且能高穩(wěn)定利用的認(rèn)證前RCE漏洞。建議盡快通過(guò)官網(wǎng)公告更新安全補(bǔ)丁。深信服已率先提供解決方案，可通過(guò)相應(yīng)產(chǎn)品進(jìn)行防護(hù)。

漏洞詳情

漏洞名稱：CVE-2024-38077

漏洞類型：遠(yuǎn)程代碼執(zhí)行

影響范圍：開(kāi)啟Windows Remote Desktop Licensing（RDL）Service 的Windows服務(wù)器

影響版本：Windows Server 2000 - Windows Server 2025

綜合評(píng)價(jià)：

<利用難度>：容易

<威脅等級(jí)>：嚴(yán)重

官方解決方案：微軟官方已發(fā)布補(bǔ)丁公告

漏洞復(fù)現(xiàn)

 

<復(fù)現(xiàn)過(guò)程>

漏洞分析：Windows遠(yuǎn)程桌面許可服務(wù)在解碼用戶輸入的許可密鑰包時(shí)，會(huì)將用戶輸入的編碼后的許可密鑰包解碼并存儲(chǔ)到緩沖區(qū)上，但是在存儲(chǔ)前沒(méi)有正確地檢驗(yàn)解碼后數(shù)據(jù)長(zhǎng)度與緩沖區(qū)大小之間的關(guān)系，導(dǎo)致緩沖區(qū)可以被超長(zhǎng)的解碼后數(shù)據(jù)溢出。攻擊者可以利用這個(gè)漏洞進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行攻擊。

漏洞自查方式

自查流程指引

1、檢查系統(tǒng)版本

使用”Win+R”組合鍵調(diào)出“運(yùn)行”，輸入“winver”后執(zhí)行確定，檢查對(duì)應(yīng)系統(tǒng)版本是否等于或高于以下表格中的版本。如果等于或高于表格中的版本，則不存在此漏洞。