近期，微軟披露最新的遠程代碼執(zhí)行超高危漏洞CVE-2024-38077， CVSS評分高達9.8 ，可導(dǎo)致開啟了遠程桌面許可服務(wù)的Windwos服務(wù)器完全淪陷。漏洞影響Windows Server 2000到Windows Server 2025所有版本，已存在近30年。該漏洞可穩(wěn)定利用、可遠控、可勒索、可蠕蟲等，破壞力極大，攻擊者無須任何權(quán)限即可實現(xiàn)遠程代碼執(zhí)行。

這一漏洞存在于Windows遠程桌面許可管理服務(wù)（RDL）中，該服務(wù)被廣泛部署于開啟Windows遠程桌面（3389端口）的服務(wù)器，用于管理遠程桌面連接許可。攻擊者無需任何前置條件，無需用戶交互（零點擊）便可直接獲取服務(wù)器最高權(quán)限，執(zhí)行任意操作。

 

<微軟官網(wǎng)公告>

一旦漏洞被惡意攻擊者或APT組織利用，將快速蔓延，或波及全球所有使用微軟服務(wù)器的用戶。這是自“永恒之藍”后，Windows首次出現(xiàn)影響全版本且能高穩(wěn)定利用的認證前RCE漏洞。建議盡快通過官網(wǎng)公告更新安全補丁。深信服已率先提供解決方案，可通過相應(yīng)產(chǎn)品進行防護。

漏洞詳情

漏洞名稱：CVE-2024-38077

漏洞類型：遠程代碼執(zhí)行

影響范圍：開啟Windows Remote Desktop Licensing（RDL）Service 的Windows服務(wù)器

影響版本：Windows Server 2000 - Windows Server 2025

綜合評價：

<利用難度>：容易

<威脅等級>：嚴重

官方解決方案：微軟官方已發(fā)布補丁公告

漏洞復(fù)現(xiàn)

 

<復(fù)現(xiàn)過程>

漏洞分析：Windows遠程桌面許可服務(wù)在解碼用戶輸入的許可密鑰包時，會將用戶輸入的編碼后的許可密鑰包解碼并存儲到緩沖區(qū)上，但是在存儲前沒有正確地檢驗解碼后數(shù)據(jù)長度與緩沖區(qū)大小之間的關(guān)系，導(dǎo)致緩沖區(qū)可以被超長的解碼后數(shù)據(jù)溢出。攻擊者可以利用這個漏洞進一步實現(xiàn)遠程命令執(zhí)行攻擊。

漏洞自查方式

自查流程指引

1、檢查系統(tǒng)版本

使用”Win+R”組合鍵調(diào)出“運行”，輸入“winver”后執(zhí)行確定，檢查對應(yīng)系統(tǒng)版本是否等于或高于以下表格中的版本。如果等于或高于表格中的版本，則不存在此漏洞。