Windows 远程桌面授权服务(RDL)是一个用于管理远程桌面服务许可证的组件,确保对远程桌面连接的合法性。
2024 年 8 月,互联网公开披露了该服务中的一个严重漏洞的部分细节(CVE-2024-38077),攻击者可以利用该漏洞在无需用户交互的情况下,执行远程代码,获得服务器的最高权限。此漏洞影响范围广泛,涵盖从 Windows Server 2000 到 Windows Server 2025 的所有版本。
漏洞描述
Description
0 1
漏洞成因
CVE-2024-38077 是 Windows 远程桌面授权服务(RDL)中的一个堆溢出漏洞。该漏洞在解码用户输入的许可密钥包时,未正确验证解码后的数据长度与缓冲区大小之间的关系,从而导致缓冲区溢出。这使得攻击者可以通过发送特制的数据包,在目标服务器上执行任意代码。
需要注意的是,RDL 服务并非默认启用,但许多管理员会手动启用它以扩展功能,例如增加远程桌面会话的数量(默认情况下,Windows 服务器仅允许两个并发会话)。此外,在部分堡垒机和 VDI 场景中,RDL 服务的启用也是必要的。
成功利用该漏洞的攻击者可以实现远程代码执行,控制受影响的服务器,潜在的危害包括数据泄露、系统崩溃,甚至可能被用于传播勒索等恶意软件。此漏洞影响到所有启用了 RDL 服务的 Windows Server服务器,特别是那些未及时更新补丁的系统。
处置优先级:高
漏洞类型: 缓冲区溢出
漏洞危害等级 :严重
触发方式: 网络远程
权限认证要求: 无需权限
系统配置要求: 需要启用 RDL 服务(默认不开启)
用户交互要求: 无需用户交互
利用成熟度: POC伪代码公开(不可直接使用)
批量可利用性: 可使用通用 POC/EXP,批量检测/利用
修复复杂度: 低,官方提供补丁修复方案
影响版本
Affects
03
1该漏洞仅影响Windows Server版本:Windows Server 2000 至 Windows Server 2025 所有版本
解决方案
Solution
04
使用 Windows 自动更新功能,确保系统安装了 2024 年 7 月的最新安全补丁。
手动安装补丁:访问微软的安全更新页面[1],下载并安装针对 CVE-2024-38077 的补丁。
临时关闭远程桌面授权服务(RDL)。虽然关闭 RDL 不会影响远程桌面服务,但它会限制同时运行的会话数。
产品支持
Support
05
牧云: 漏洞检测引擎从7月版本( VULN-24.07.011) 开始支持该漏洞的检测。
时间线
Timeline
06
7月9日 微软发布漏洞补丁公告
8月9日 互联网公开披露该漏洞部分细节
8月9日 长亭应急响应中心发布通告
参考资料:
[1].https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
长亭应急响应服务
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否受到此次漏洞影响
请联系长亭应急服务团队
7\*24小时,守护您的安全
第一时间找到我们:
应急响应热线:4000-327-707