安全风险通告|微软RDL服务远程代码执行漏洞(CVE-2024-38077)

| 漏洞概述 |
| 漏洞名称

| Windows 远程桌面授权服务远程代码执行漏洞 |
| 漏洞编号

| QVD-2024-25692,CVE-2024-38077 |
| 公开时间

| 2024-07-09

| 影响对象数量级

| 十万级 |
| 奇安信评级

| 高危

| CVSS 3.1分数

| 8.1 |
| 威胁类型

| 代码执行

| 利用可能性

| 中 |
| POC状态

| 已公开（伪代码）

| 在野利用状态

| 未知 |
| EXP状态

| 未公开

| 技术细节状态

| 已公开 |
| 危害描述： 成功利用该漏洞的攻击者可以实现远程代码执行，获取目标系统的控制权，可能导致敏感数据的泄露、以及可能的恶意软件传播。 |

0 1

漏洞详情

>>>****>

影响组件

Windows 远程桌面授权服务（RDL）是一个用于管理远程桌面服务许可证的组件，确保对远程桌面连接的合法性。该服务被广泛部署于开启了Windows远程桌面服务（3389端口）的服务器上，但漏洞的利用不是通过3389端口，需要先连接135端口发送访问请求，然后服务器给出一个连接RDL服务的动态高端口，再连接访问，如果服务器对外不开放135端口则不可利用。注意：RDL服务并非默认启用，但出于扩展功能等目的，许多管理员会手动启用它，例如增加远程桌面会话的数量。在一些特定的场景中，如堡垒机和云桌面VDI环境，RDL服务的启用也是必需的。

>>>****>

漏洞描述

近日，奇安信CERT监测到官方修复 Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077) ，该漏洞存在于Windows远程桌面许可管理服务（RDL）中，成功利用该漏洞的攻击者可以实现远程代码执行，获取目标系统的控制权，可能导致敏感数据的泄露、以及可能的恶意软件传播。 该漏洞影响所有启用 RDL 服务的 Windows Server服务器，特别是未及时更新 2024 年 7 月微软最新安全补丁的系统。 鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

奇安信 CERT将持续关注该漏洞进展，并第一时间为您更新该漏洞信息。

影响范围

>>>****>

影响版本

Windows Server 2025 Preview

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

>>>****>

其他受影响组件

无

检测工具

>>>****>

检测原理

对目标windows服务器的135端口进行测绘获取banner信息，并对banner信息进行查询是否包含UUID=” 3d267954-eeb7-11d1-b94e-00c04fa3080d”

如果banner信息中包含该UUID，就代表服务器装有RDL服务，存在被利用的风险：

Windows平台检测：

系统环境需要装有python，并安装impacket库

pip install impacket

打开CVE-2024-38077漏洞相关RDL服务检测工具.7z

启动命令行：

Python check_38077.py <目标网段>/<单个IP>

使用单个IP扫描的实例如下：

如果存在RDL服务则会输出：

[+]RDL Server found in IP {ip}

使用C段扫描的实例如下：

Linux平台检测：

Kali系统自带impacket-rpcdump库，直接在shell中执行如下命令：

impacket-rpcdump 192.168.147.233 | grep "3D267954-EEB7-11D1-B94E-00C04FA3080D"

如果存在RDL服务器则会显示如下内容：

注： CVE-2024-38077漏洞相关RDL服务检测工具 可联系cert@qianxin.com获取。

处置建议

>>>****>

安全更新

使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞，也可以通过奇安信天擎客户端一键更新修补相关漏洞。

也可以采用以下官方解决方案及缓解方案来防护此漏洞：

缓解措施：

1.关闭远程桌面授权服务。该服务默认情况下并未开启。

2.该漏洞利用与远程桌面RDP端口（默认情况下为3389端口）无关，可利用安全组限制相关机器以及端口仅对可信地址开放。

Windows自动更新

Windows系统默认启用 Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”-> “系统和安全”->“Windows更新”）

3、选择“检查更新”，等待系统将自动检查并下载可用更新

4、重启计算机，安装更新

系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

另外，对于不能自动更新的系统版本，可参考以下链接下载适用于该系统的补丁并安装：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

>>>****>

产品解决方案

奇安信天擎终端安全管理系统解决方案

奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户，可以将补丁库版本更新到：2024.07.10.1及以上版本，对内网终端进行补丁更新。

推荐采用自动化运维方案，如果控制中心可以连接互联网的用户场景，建议设置为自动从奇安信云端更新补丁库至2024.07.10.1版本。

控制中心补丁库更新方式：每天04:00-06:00自动升级，升级源为从互联网升级。

纯隔离网内控制中心不能访问互联网，不能下载补丁库和补丁文件，需使用离线升级工具定期导入补丁库和文件到控制中心。

奇安信天眼检测方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.0809.14458及以上版本。

规则名称：Microsoft Remote Desktop Client 安全漏洞

规则ID：0x608f

奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：52235 ，建议用户尽快升级检测规则库至2408091730上；

参考资料

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

时间线

2024年8月9日，奇安信 CERT发布安全风险通告。

漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务：

点击阅读原文了解更多

长亭百川云 - 文章详情

长亭百川云

长亭百川云 - 文章详情

长亭百川云

安全风险通告|微软RDL服务远程代码执行漏洞(CVE-2024-38077)