CVE-2024-38077 远程代码执行(RCE)漏洞紧急处置建议

↑点个关注「方桥安全漏洞防治中心」

强烈建议紧急处置 CVE-2024-38077 远程代码执行（RCE）漏洞

CVE-2024-38077 是一个被微软确认的远程代码执行（RCE）漏洞，影响范围涵盖开启Windows Remote Desktop Licensing（RDL）服务的Windows服务器，版本从Windows Server 2000至Windows Server 2025。攻击者无需获取任何权限便可实现远程代码执行程序，实现对目标系统的完全控制。

这是自“永恒之蓝”后，Windows首次出现影响全版本且能高稳定利用的认证前RCE漏洞。这一漏洞的利用难度较低，威胁等级极高，需要立即采取措施进行处置。

以下是针对这个漏洞的紧急处置建议和具体操作过程：

紧急处置建议

1. 检查系统版本：

• 影响Windows Server 2000至Windows Server 2025的所有版本。
• 使用“Win+R”组合键调出“运行”，输入“winver”后执行确定，检查系统版本是否受影响。

1. 自动安全更新：

‍‍‍- 使用Windows自动更新功能。Windows系统默认启用Microsoft Update，将自动下载并安装更新。

• 手动检查更新：点击“开始菜单”或按Windows快捷键，进入“设置” > “更新和安全” > “Windows更新”，选择“检查更新”，然后重启计算机以安装更新。

1. 安装补丁：

• 微软已发布针对CVE-2024-38077的安全补丁，建议立即通过Windows Update自动更新或手动下载并安装补丁。
• 对于无法自动更新的系统版本，可以访问微软官方更新指南下载并安装适用于该系统的补丁。补丁下载地址：https://msrc.microsoft.com/update-guide。
• 更新前请确保备份重要数据，并在更新后进行充分测试，确保系统稳定运行。

1. 禁止远程的桌面授权的服务（如果不是必需的）：

• 若您系统中的某项服务不再必要，建议将其禁用，以作为一项安全最佳实践。禁用未使用或不必要的服务可以有效降低安全漏洞的风险，提升系统的整体安全性。

**【特别提醒】**生产环境中的Windows Server可能因为长期未更新和测试环境中的服务器情况差异较大。强烈建议参照生产环境中的Windows Server实际版本和补丁包安装情况测试验证，避免环境不一致导致安装补丁包失败或者服务器不能正常启动等其它更严重的问题。

具体操作过程

1. 自动安全更新操作过程：

启用自动更新：

• 打开“控制面板”，选择“系统和安全”，然后点击“Windows Update”。
• 在左侧菜单中，点击“更改设置”。
• 选择“自动安装更新(推荐)”并点击“确定”。

手动检查更新：

• 点击“开始”按钮或按下Windows键。
• 输入“设置”并选择它，或者直接点击“设置”图标。
• 在“设置”窗口中，点击“更新和安全”。
• 在“Windows更新”部分，点击“检查更新”。
• 如果有可用更新，系统将自动下载并安装它们。
• 安装完成后，根据提示重启计算机。

1. 安装补丁操作过程：

注意事项：

• 在安装补丁前，请确保备份重要数据。
• 安装补丁后，进行系统测试以确保稳定运行。

通过Windows Update自动更新：

• 遵循上述自动安全更新的步骤，确保Windows Update设置为自动安装更新。

手动下载并安装补丁：

• 打开网页浏览器，访问微软官方更新指南。
• 搜索CVE-2024-38077，找到对应的补丁。
• 下载适用于您操作系统版本的补丁文件。
• 双击下载的补丁文件，启动安装向导。
• 遵循屏幕上的指示完成补丁安装。
• 安装完成后，根据提示重启计算机。

1. 禁用远程桌面授权服务操作过程（如果不是必需的）：

如果不再需要使用该服务，建议将其禁用。禁用未使用或不必要的服务可以有效降低安全漏洞的风险，提升系统的整体安全性。

• 打开“服务器管理器”或“计算机管理”。
• 展开“服务和应用程序”，然后点击“服务”。
• 在服务列表中找到“远程桌面授权（Remote Desktop Service）”服务。
• 右键点击“远程桌面授权”并选择“属性”。
• 在“常规”选项卡中，将“启动类型”更改为“禁用”。
• 点击“停止”按钮停止该服务。
• 点击“确定”保存更改。

或者通过命令行操作：

• 以管理员身份打开命令提示符或PowerShell。
• 输入以下命令并按回车键：

sc config TermService start= disablednet stop TermService

• 这将禁用远程桌面授权服务。

总结

CVE-2024-38077是一个严重的远程代码执行漏洞，对开启Windows Remote Desktop Licensing服务的服务器构成重大威胁。建议受影响的用户立即采取上述紧急处置措施，确保系统安全。同时，持续关注微软及其他安全厂商的安全公告和更新信息，及时获取最新的防护指南和解决方案。

我们正在编写针对该漏洞的**「漏洞处置SOP」**，请关注我们后续更新。

推荐阅读