高危漏洞CVE-2024-38077的修复指南

本文涉及的产品
应用实时监控服务-可观测链路OpenTelemetry版,每月50GB免费额度
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 根据2024年8月9日,国家信息安全漏洞共享平台(CNVD)收录了Windows远程桌面许可服务远程代码执行漏洞(CNVD-2024-34918,对应CVE-2024-38077)。未经身份认证的攻击者可利用漏洞远程执行代码,获取服务器控制权限。目前,该漏洞的部分技术原理和概念验证伪代码已公开,厂商已发布安全更新完成修复。CNVD建议受影响的单位和用户安全即刻升级到最新版本。


根据2024年8月9日,国家信息安全漏洞共享平台(CNVD)收录了Windows远程桌面许可服务远程代码执行漏洞(CNVD-2024-34918,对应CVE-2024-38077)。未经身份认证的攻击者可利用漏洞远程执行代码,获取服务器控制权限。目前,该漏洞的部分技术原理和概念验证伪代码已公开,厂商已发布安全更新完成修复。CNVD建议受影响的单位和用户安全即刻升级到最新版本。

一、漏洞情况分析

该漏洞存于Windows远程桌面许可管理服务(Remote Desktop License Service,RDL)中,RDL是Windows Server操作系统的一个服务,用于管理和颁发远程桌面连接(RDS)许可。攻击者无需任何前置条件,无需用户交互(零点击)便可直接获取服务器最高权限,执行任意操作。

RDL不是Windows Server操作系统的默认启用服务。默认情况下,Windows服务器远程桌面服务仅支持两个并发会话,在启用RDP多并发会话支持时,需要手动安装RDL服务。

2024年8月9日上午9时,研究人员在境外网站公开了RDL服务远程代码执行漏洞的部分技术原理和概念验证(POC)伪代码,该伪代码目前尚无法直接运行,研究者将其命名为狂躁许可(MadLicense)。RDL服务在解码用户输入的许可密钥包时,未正确验证解码后的数据长度与缓冲区大小之间的关系,从而导致堆缓冲区溢出。未经身份认证的攻击者利用该漏洞,通过远程向目标Windows Server服务器发送恶意构造的数据包,从而执行任意代码,实现对服务器的权限获取和完全控制。CNVD对该漏洞的综合评级为“高危”。


二、漏洞影响范围

漏洞名称 Windows Server 远程桌面许可服务远程代码执行漏洞
漏洞类型 远程代码执行
漏洞CVE编号 CVE-2024-38077
漏洞影响服务 Windows Remote Desktop Licensing (RDL)服务
影响版本范围 Windows Server 2000~2025 全版本未安装修复补丁均受影响


三、漏洞处置建议

特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照

一、排查方式

1. 检查系统补丁与build版本

  • 使用Win+R组合键调出运行窗口,输入cmd按回车按键打开控制台窗口。
  • 输入systeminfo命令,检查系统安装补丁信息。

  • 输入winver,检查系统build版本信息

判断方式:

- 1)根据操作系统版本找到对应补丁编号与Build版本号
- 2)若已安装对应补丁,则不受漏洞影响(若有两个补丁则任选一安装即可)
- 3)若当前系统Build版本号大于或等于表格中的Build版本号,则不受漏洞影响。
操作系统版本 补丁编号 Build版本号
Windows Server 2022 23H2 Edition (Server Core installation) KB5040438 10.0.25398.1009
Windows Server 2022 (Server Core installation) KB5040437 10.0.20348.2582
Windows Server 2022 KB5040437 10.0.20348.2582
Windows Server 2019 (Server Core installation) KB5040430 10.0.17763.6054
Windows Server 2019 KB5040430 10.0.17763.6054
Windows Server 2016 (Server Core installation) KB5040434 10.0.14393.7159
Windows Server 2016 KB5040434 10.0.14393.7159
Windows Server 2012 R2 (Server Core installation) KB5040456 6.3.9600.22074
Windows Server 2012 R2 KB5040456 6.3.9600.22074
Windows Server 2012 (Server Core installation) KB5040485 6.2.9200.24975
Windows Server 2012 KB5040485 6.2.9200.24975
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) KB5040497或KB5040498 6.1.7601.27219
Windows Server 2008 R2 for x64-based Systems Service Pack 1 KB5040497或KB5040498 6.1.7601.27219
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) KB5040490或KB5040499 6.0.6003.22769
Windows Server 2008 for x64-based Systems Service Pack 2 KB5040490或KB5040499 6.0.6003.22769
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) KB5040490或KB5040499 6.0.6003.22769
Windows Server 2008 for 32-bit Systems Service Pack 2 KB5040490或KB5040499 6.0.6003.22769

2. 检查RDL服务安装状态

  • Win键+R运行powershell,执行命令Get-WindowsFeature -Name RDS-Licensing

检查Install State结果:

- 未安装显示为Avaliable,不受漏洞影响
- 已安装显示为Installed,此情况下需要安装升级补丁,或关闭RDL服务,否则受漏洞影响

3. 检查RDL服务运行状态

  • Win键+R运行services.msc
  • 检查remote desktop license服务是否运行:
  • 1)未启用时状态显示为空  ,自动类型显示为手动,双击进入详情界面显示未已停止,此情况不受漏洞影响
  • 2)已启用时状态显示为正在运行,自动类型显示为自动,此情况下需要安装升级补丁,或关闭RDL服务,否则受漏洞影响

二、整改修复

1. 安装更新补丁

微软官方已发布针对该漏洞的修复方案,受影响用户请通过官方链接下载并更新补丁。

针对所有受影响的资产,根据具体的Windows Server系统版本,下载对应的补丁升级包,补丁下载地址:https://catalog.update.microsoft.com/Search.aspx?q=KB5040456此处修改为对应的补丁号)。

请务必尽快安排合适的时间对其进行升级。

2. 关闭RDL服务

对于暂无法安装更新补丁的情况,微软公司建议在确认RDL服务非必要的前提下,采取关闭RDL服务等临时防范措施。

使用Win+R组合键调出运行窗口,输入powershell按回车按键打开控制台窗口,执行以下命令

Stop-Service -Name "TermServLicensing" -Force


参考:

https://www.cnvd.org.cn/webinfo/show/10286

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077


最后~欢迎关注我! @Linux学习的那些事儿

我的个人资源整理,满满都是干货:可按需访问领取

200T免费资料,持续发布中...

如果本文对你有帮助,欢迎点赞、收藏、转发给朋友,让我有持续创作的动力!

相关文章
|
6月前
|
监控 安全 测试技术
CVE-2022-37434漏洞如何处理
【6月更文挑战第18天】CVE-2022-37434漏洞如何处理
669 0
|
安全 数据安全/隐私保护
一个凑数的高危
一个凑数的高危
|
安全 Java 应用服务中间件
CVE-2023-21839漏洞本地简单复现
CVE-2023-21839漏洞本地简单复现
1097 0
|
SQL 安全 前端开发
常见漏洞总结
常见漏洞总结
|
安全 Linux 网络安全
【网络安全】复现CVE-2019-14287漏洞
Sudo的全称是"superuserdo”,它是Linux系统管理指令,允许用户在不需要切换环境的前提下,以其它用户的权限运行应用程序或命令,通常是以root用户身份运行命令,以减少root用户的登录和管理时间,同时提高安全性,当在Linux操作系统上执行命令时,只有得到许可或者知道root密码,普通用户才可以使用sudo命令以root身份执行命令. 个人理解:(直白点讲就是,如果你入侵了他人的主机,可以利用该漏洞,进行权限升级,不用切换root,因为切换root的时候需要输入密码,用该漏洞可以跳过该步骤,获得权限)
216 0
【网络安全】复现CVE-2019-14287漏洞
|
编解码 安全 NoSQL
SSRE漏洞
服务器端请求伪造:是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。
SSRE漏洞
|
安全 Apache 开发工具
[漏洞复现]CVE-2019-0708(上)
[漏洞复现]CVE-2019-0708
200 0
[漏洞复现]CVE-2019-0708(上)
|
安全 Python
[漏洞复现]CVE-2019-0708(下)
[漏洞复现]CVE-2019-0708
177 0
 [漏洞复现]CVE-2019-0708(下)
|
安全 网络安全
CVE-2021-40116|CVE-2021-34783等——Cicso多个安全漏洞
CVE-2021-40116|CVE-2021-34783等——Cicso多个安全漏洞
367 0
CVE-2021-40116|CVE-2021-34783等——Cicso多个安全漏洞
|
安全 Docker 容器
CVE-2018-15664漏洞分析报告
近日来自SUSE的安全专家Aleksa Sarai公布了编号为CVE-2018-15664的docker相关高危安全漏洞,该漏洞的CVSS评分为8.7,影响面涵盖所有docker发行版本,攻击者可利用该漏洞逃逸出容器读取或篡改host或其他任意容器内的文件,当前docker官方已经给出了临时方案以降低攻击面并将于下个release版本发布。
3102 0