基本信息
国外网站上公开了微软Windows操作系统一个高危漏洞(CVE-2024-38077)的详情和概念验证代码。经分析确认,该漏洞获得CVSS 9.8的评分,是Windows平台近十年来罕见的可以稳定利用、影响广泛的远程零点击(Zero-Click)/认证前(Pre-Auth) 漏洞。研究人员针对该漏洞放出了稳定利用的验证视频并表示,这种漏洞已多年未曾出现。
由于漏洞涉及远程桌面授权服务(Remote Desktop License Service),研究者将其命名为**MadLicense(狂躁许可),**并表示还将进一步公开披露更多类似漏洞。
影响范围
该漏洞影响范围广泛,涉及Windows 2000后所有Windows服务器操作系统:包括广泛使用的Windows Server 2008 R2/2012/2016,甚至波及微软内部预览版本:提供了“下一代安全技术”的Windows Server 2025系统。
通过该漏洞,攻击者只须针对开启了相关服务的服务器发送特制数据包,即可完全控制目标系统,获得最高的SYSTEM权限,实现“低门槛、高回报”的攻击效果。上一个有如此影响力的Windows远程漏洞可能要追溯到2019年的BlueKeep(CVE-2019-0708)漏洞,相较BlueKeep,MadLicense的稳定性更高,且不受网络级身份验证(Network Level Authentication,NLA)的影响。
研究人员的全网扫描结果显示,公网上至少有17万台活跃的Windows服务器开启了相关服务,而内网中受影响的服务器数量可能更多。鉴于该漏洞已有成熟稳定的利用证明和公开的验证代码,我们预计攻击者可能迅速开发出完整的漏洞利用方案。更令人担忧的是,这可能引发类似"永恒之蓝"的蠕虫级攻击,导致大规模网络安全威胁。
背景和相关补丁
"狂躁许可"(CVE-2024-38077)漏洞针对的是Windows操作系统的远程桌面授权服务。该服务为Remote Desktop Services(RDS,即常见的远程桌面服务)提供认证和授权,确保只有授权用户或设备可访问RDS。远程桌面授权服务广泛存在于启用远程桌面的机器上。
远程桌面默认仅允许两个同时会话,需购买许可证以启用更多会话。管理员在安装远程桌面(3389端口)时通常会选择安装远程桌面授权服务,导致许多开启3389端口的服务器同时启用了该服务。
安全研究员于2024年5月初向微软报告此漏洞,微软随后在7月的例行补丁日修复。鉴于漏洞的严重性和广泛影响,微软特别为已停止安全更新的系统(如Windows Server 2008/2008 R2/2012/2012 R2)提供了补丁。
关于漏洞情报
值得注意的是,截至目前,微软官方补丁公告仍将该漏洞标记为**"不太可能被利用"**(Exploitation Less Likely)。然而,补丁发布后稳定利用的证明和验证代码的迅速出现,似乎印证了这一评估的不准确性。
微软的"可利用性分析"(Exploitability Assessment)通常是Windows、Office等产品用户安全团队和绝大多数第三方安全公司提供的漏洞情报的关键参考。但”狂躁许可“漏洞的案例凸显了仅依赖官方或开源情报可能存在的风险和”不靠谱“
如何验证和修复
手动检查
所有未安装2024年7月补丁的Windows服务器操作系统均受此漏洞影响。
服务检查:验证Remote Desktop Licensing服务是否启动,相关补丁是否未安装。
文件版本检查:查看lserver.dll文件版本,确定是否为易受攻击版本。
手动修复
用户可参考微软安全公告,手动安装相关补丁。对于无法安装补丁的情况,微软建议采取以下缓解措施:如非必要,关闭Remote Desktop Licensing服务。注意:此操作将影响远程桌面授权认证和分发,可能导致远程桌面出现问题影响正常业务或降低远程桌面安全性。同时,微软公告中提出:即便采取了上述缓解措施,微软仍强烈建议尽快修复漏洞以全面防护系统。
目前网上已有POC流传,扫码加入网安攻防知识库免费星球获取POC,仅供参考,安全性自测。
微信扫码加入免费知识星球