免责声明**:**由于传播、利用本公众号SSP安全研究所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号SSP安全研究及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
CVE-2024-38077 是微软近期披露的一个极其严重的远程代码执行漏洞。此漏洞影响从 Windows Server 2000 到 Windows Server 2025 的所有版本,影响范围非常广泛。漏洞存在于 Windows 远程桌面许可管理服务(RDL)中,该服务被广泛部署在启用了远程桌面服务(端口 3389)的服务器上,用于管理远程桌面连接许可。
该漏洞的根本问题在于 Windows 远程桌面许可服务在处理用户输入的许可密钥包时的解码过程。具体而言,该服务会将用户输入的编码后的许可密钥包解码,并将解码后的数据存储在内存缓冲区中。然而,在将解码后的数据写入缓冲区之前,系统并未正确地检查解码后数据的长度与缓冲区大小之间的关系。
这种缺乏边界检查的情况使得攻击者可以通过构造一个超长的、特定格式的编码数据包,利用缓冲区溢出漏洞,向系统注入恶意代码。当数据溢出缓冲区后,攻击者能够覆盖关键的内存区域,从而实现任意代码执行。这一漏洞的存在使得攻击者可以在没有任何身份验证或预置条件的情况下,远程控制受影响的服务器,执行任意操作。
为了帮助系统管理员和用户检测其系统是否受到 CVE-2024-38077 漏洞的影响,建议按照以下步骤进行自查:
1. 检查系统版本
• 步骤 1: 按住**“Win+R”**组合键调出“运行”窗口。
• 步骤 2: 在运行框中输入**“winver”**并点击确定。
• 步骤 3: 系统将弹出一个窗口,显示 Windows 版本信息。
2. 版本比对
如果显示的系统版本等于或高于表格中的版本,则说明系统不受此漏洞影响。否则,系统存在漏洞,建议立即进行补丁更新。
poc在github已有,真假自辩,概不负责。
原文:
https://mp.weixin.qq.com/s/kZUafwIat2qpj7JyRFrmHw
One bug to Rule Them All, Exploiting a Preauth RCE vulnerability on Windows (google.com)