长亭百川云 - 文章详情

Windows 远程桌面授权服务存在远程代码执行漏洞分析(MadLicense)

墨菲安全实验室

63

2024-08-09

简介

Windows 远程桌面授权服务是用于管理和分发远程桌面服务(RDS)客户端访问许可证(CALs, Client Access Licenses)的工具,通常和启用远程桌面服务同时启动。

受影响版本的 Windows 远程桌面许可服务中CDataCoding::DecodeData函数用于管理连接到服务器的Terminal Services CALs,存在堆溢出漏洞,当 Windows Server 启动远程桌面许可服务后(非默认启用),未授权的攻击可利用该漏洞发送恶意请求以 SYSTEM 远程执行任意代码。

漏洞信息

漏洞影响分析

当前完整的PoC并未公开,微软应急响应中心对该漏洞的利用性评估为利用可能性较小,但随着更多的细节披露、PoC的公开,被利用的可能性会增加。

当前已明确的主要利用限制:

  • 该漏洞影响Windows Server 2000到2025版本,Windows 10/11等桌面版本不受影响
  • 需要开启远程桌面授权服务,该服务默认不开启

排查方式

Terminal Server Licensing服务是Remote Desktop Licensing 所依赖的服务,因此也可通过 Terminal Server Licensing 开放的情况来排查。

本地排查

运行如下命令,查看 Remote Desktop Licensing 服务的状态:

Get-Service -Name "TermServLicensing"

提示找不到服务即为未开启

执行命令显示状态 running 即为开启服务

在服务器管理面板中需要手动开启远程桌面授权服务。

远程排查

远程排查可通过RPC判断RDL依赖的Terminal Server Licensing服务是否开启来进行快速判断。

服务对应的UUID为:3D267954-EEB7-11D1-B94E-00C04FA3080D v1.0

Protocol: N/A
Provider: lserver.dll
UUID    : 3D267954-EEB7-11D1-B94E-00C04FA3080D v1.0
Bindings:
          ncacn_ip_tcp:192.168.2.60[49909]
          ncacn_np:\\WIN-TFCHS70Q4DG[\pipe\HydraLsPipe]
          ncalrpc:[LRPC-fa1418ec4feeeec8c6]

墨菲安全提供了快速排查脚本(https://github.com/murphysecurity/RDL-detect),用于探测Terminal Server Licensing服务开放情况,其依赖于MSRPC协议(默认为135端口),需要注意可能被防火墙策略拦截。

RDL协议检测脚本

修复方案

  1. 更新补丁:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
  2. 关闭远程桌面许可服务

参考链接

https://sites.google.com/site/zhiniangpeng/blogs/MadLicense

排查工具及投毒情报

墨菲安全提供产品可实时拦截针对开源组件的投毒

墨菲安全的私有源网关产品可对npm、pip、maven等中央仓库的投毒事件进行实时的检测和拦截,同时支持对高危漏洞实现基线管理,目前该产品已在蚂蚁、小米、中国电信、中国移动等数十家客户落地应用。

墨菲安全提供实时的开源组件投毒情报预警可订阅

墨菲安全0day漏洞及投毒情报覆盖最新的0day、1day及投毒情报预警,所有情报经过严格的安全专家研判,保障企业获取的第一手的高质量漏洞及投毒情报,更有比CVE漏洞库多25+额外的详细分析字段,目前该产品已在蚂蚁、美团、中国电信等数十家客户落地应用。

以上功能企业可通过以下方式申请试用

一、长按二维码申请:

二、访问申请链接:

https://murphysec.feishu.cn/share/base/form/shrcny75AEBuEJpL8myuAKPfsPe

☞ 点击阅读原文获取排查脚本

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2