简介
Windows 远程桌面授权服务是用于管理和分发远程桌面服务(RDS)客户端访问许可证(CALs, Client Access Licenses)的工具,通常和启用远程桌面服务同时启动。
受影响版本的 Windows 远程桌面许可服务中CDataCoding::DecodeData函数用于管理连接到服务器的Terminal Services CALs,存在堆溢出漏洞,当 Windows Server 启动远程桌面许可服务后(非默认启用),未授权的攻击可利用该漏洞发送恶意请求以 SYSTEM 远程执行任意代码。
漏洞信息
漏洞影响分析
当前完整的PoC并未公开,微软应急响应中心对该漏洞的利用性评估为利用可能性较小,但随着更多的细节披露、PoC的公开,被利用的可能性会增加。
当前已明确的主要利用限制:
- 该漏洞影响Windows Server 2000到2025版本,Windows 10/11等桌面版本不受影响
- 需要开启远程桌面授权服务,该服务默认不开启
排查方式
Terminal Server Licensing服务是Remote Desktop Licensing 所依赖的服务,因此也可通过 Terminal Server Licensing 开放的情况来排查。
本地排查
运行如下命令,查看 Remote Desktop Licensing 服务的状态:
Get-Service -Name "TermServLicensing"
提示找不到服务即为未开启
执行命令显示状态 running 即为开启服务
在服务器管理面板中需要手动开启远程桌面授权服务。
远程排查
远程排查可通过RPC判断RDL依赖的Terminal Server Licensing服务是否开启来进行快速判断。
服务对应的UUID为:3D267954-EEB7-11D1-B94E-00C04FA3080D v1.0
Protocol: N/A
Provider: lserver.dll
UUID : 3D267954-EEB7-11D1-B94E-00C04FA3080D v1.0
Bindings:
ncacn_ip_tcp:192.168.2.60[49909]
ncacn_np:\\WIN-TFCHS70Q4DG[\pipe\HydraLsPipe]
ncalrpc:[LRPC-fa1418ec4feeeec8c6]
墨菲安全提供了快速排查脚本(https://github.com/murphysecurity/RDL-detect),用于探测Terminal Server Licensing服务开放情况,其依赖于MSRPC协议(默认为135端口),需要注意可能被防火墙策略拦截。
RDL协议检测脚本
修复方案
参考链接
https://sites.google.com/site/zhiniangpeng/blogs/MadLicense
排查工具及投毒情报
墨菲安全提供产品可实时拦截针对开源组件的投毒
墨菲安全的私有源网关产品可对npm、pip、maven等中央仓库的投毒事件进行实时的检测和拦截,同时支持对高危漏洞实现基线管理,目前该产品已在蚂蚁、小米、中国电信、中国移动等数十家客户落地应用。
墨菲安全提供实时的开源组件投毒情报预警可订阅
墨菲安全0day漏洞及投毒情报覆盖最新的0day、1day及投毒情报预警,所有情报经过严格的安全专家研判,保障企业获取的第一手的高质量漏洞及投毒情报,更有比CVE漏洞库多25+额外的详细分析字段,目前该产品已在蚂蚁、美团、中国电信等数十家客户落地应用。
以上功能企业可通过以下方式申请试用
一、长按二维码申请:
二、访问申请链接:
https://murphysec.feishu.cn/share/base/form/shrcny75AEBuEJpL8myuAKPfsPe
☞ 点击阅读原文获取排查脚本
