又是有惊无险一天!
深信服首席安全研究员Zhiniang Peng (彭峙酿)在他的个人博客上发表了一篇《MadLicense: One bug to Rule Them All, Stably Exploiting a Preauth RCE vulnerability on Windows Server 2025》揭示了Windows 远程桌面授权服务远程代码执行漏洞。这个漏洞在安全圈掀起了宛如核弹,给这次国家级的演练中掀起了一波巨浪。
Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)发布时间是2024年8月9日,影响范围Win server 2000-Win server 2025,开启了Windows Remote Desktop Licensing (RDL) 服务的Windows服务器,该服务被广泛部署于开启 Windows 远程桌面(3389 端口)的服务器,用于管理远程桌面连接许可。攻击者无需任何前置条件,无需用户交互(零点击),便可直接获取服务器最高权限执行任意操作。
Windows 远程桌面服务默认开启2个会话,如果要开启更多的会话就要购买许可证。而RDL就是管理这些许可证。一些堡垒机如某治堡垒机,jumperserver会默认开启RDL,以资源发布的方式管理更多的会话。
监测组件系统版本
使用”Win+R”组合键调出“运行”,在其中输入“winver”后执行确定。检查对应系统版本是否等于或高于表格版本,如果高于或等于表格中的版本,则不存在此漏洞。
检查系统补丁安装情况
在“设置”-“更新与安全”-”Windows 更新”-“更新历史”中检查是否存在下列表格中对应系统补丁,如果存在以下补丁,则证明漏洞已修复。
官方修复建议
微软官方已发布针对该漏洞的修复方案,受影响用户请通过官方链接下载并更新补丁。链接如下:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
好消息是不是开启了3389远程登录的服务器就开启了RDL服务,需要用户直接选择安装。坏消息是:通过作者的扫描互联网上有17万台Server开启了RDL服务,而且难以想象内网中的设备的数量会更多。在这个时间点爆出这个漏洞,用户会很快的响应,检查并修复此漏洞。
附一个深信服发布的CVE-2024-38077的漏洞报告。
