CVE-2024-38077：Windows远程桌面授权服务的‘隐形杀手’——深度剖析与紧急防护策略

文章目录

• • CVE-2024-38077：Windows远程桌面授权服务的'隐形杀手'------深度剖析与紧急防护策略
  • • [1 漏洞描述](#1 漏洞描述)
    • [2 漏洞影响](#2 漏洞影响)
    • • [2.1 处置优先级：高](#2.1 处置优先级：高)
      • [2.2 影响版本](#2.2 影响版本)
    • [3 漏洞检测](#3 漏洞检测)
    • • [3.1 漏洞检测工具](#3.1 漏洞检测工具)
      • [3.2 漏洞检测工具使用介绍](#3.2 漏洞检测工具使用介绍)
      • • [3.2.1 漏洞检测工具当前支持三种方式检测](#3.2.1 漏洞检测工具当前支持三种方式检测)
        • [3.2.2 漏洞检测工具返回信息分析](#3.2.2 漏洞检测工具返回信息分析)
      • [3.3 漏洞检测工具获取](#3.3 漏洞检测工具获取)
    • [4 漏洞解决方案](#4 漏洞解决方案)
    • • [4.1 临时缓解方案](#4.1 临时缓解方案)
      • [4.2 升级修复方案](#4.2 升级修复方案)
    • [5 参考资料](#5 参考资料)

CVE-2024-38077：Windows远程桌面授权服务的'隐形杀手'------深度剖析与紧急防护策略

今日大部分厂商报告了CVE-2024-38077这个RCE漏洞，是一个危险性较高的漏洞，其CVSS评分高达9.8 ，可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。漏洞影响Windows Server2000到WindowsServer 2025所有版本，已存在近30年。该漏洞可稳定利用、可远控、可勒索、可蠕虫等，破坏力极大，攻击者无须任何权限即可实现远程代码执行，更是被誉为这是自"永恒之蓝"后，Windows首次出现影响全版本且能高稳定利用的认证前RCE漏洞。

1 漏洞描述

CVE-2024-38077 是 Windows 远程桌面授权服务（RDL）中的一个堆溢出漏洞。该漏洞在解码用户输入的许可密钥包时，未正确验证解码后的数据长度与缓冲区大小之间的关系，从而导致缓冲区溢出。这使得攻击者可以通过发送特制的数据包，在目标服务器上执行任意代码。

需要注意的是，RDL 服务并非默认启用，但许多管理员会手动启用它以扩展功能，例如增加远程桌面会话的数量（默认情况下，Windows 服务器仅允许两个并发会话）。此外，在部分堡垒机和 VDI 场景中，RDL 服务的启用也是必要的。

2 漏洞影响

成功利用该漏洞的攻击者可以实现远程代码执行，控制受影响的服务器，潜在的危害包括数据泄露、系统崩溃，甚至可能被用于传播勒索等恶意软件。此漏洞影响到所有启用了 RDL 服务的 Windows Server服务器，特别是那些未及时更新补丁的系统。

2.1 处置优先级：高

**漏洞类型：**缓冲区溢出

漏洞危害等级：严重

**触发方式：**网络远程

**权限认证要求：**无需权限

**系统配置要求：**需要启用 RDL 服务（默认不开启）

**用户交互要求：**无需用户交互

**利用成熟度：**POC伪代码公开（不可直接使用）

**批量可利用性：**可使用通用 POC/EXP，批量检测/利用

**修复复杂度：**低，官方提供补丁修复方案

2.2 影响版本

该漏洞仅影响Windows Server版本：Windows Server 2000 至 Windows Server 2025 所有版本

3 漏洞检测

3.1 漏洞检测工具

【CVE-2024-38077】深信服批量检测工具。

3.2 漏洞检测工具使用介绍

3.2.1 漏洞检测工具当前支持三种方式检测

1. 直接针对单ip进行检测：check_38077.exe 192.168.1.1；

2. 针对ip段进行检测：check_38077.exe 192.168.1.0\24；

3. ip 导入检测：check_38077.exe -f iplist.txt

3.2.2 漏洞检测工具返回信息分析

漏洞检测工具返回信息概要。

工具返回信息	返回信息说明
Vulnerability Detected.	检测到漏洞
Server Not installed.	扫描的机器并未安装RDL服务
Can Not Reach Host.	无法访问到服务器
Server Patched.	服务器已经安装漏洞补丁
RPC Exception.	RPC 异常
Error Code.	其他错误代码

3.3 漏洞检测工具获取

**关注公众号:**超哥的IT私房菜，回复202438077。

4 漏洞解决方案

4.1 临时缓解方案

1. 临时关闭远程桌面授权服务（RDL）。虽然关闭 RDL 不会影响远程桌面服务，但它会限制同时运行的会话数。
2. 为防止被利用，建议尽量减少对外直接暴露端口，可利用安全组限制相关机器以及端口仅对可信地址开放。

4.2 升级修复方案

1. 使用 Windows 自动更新功能，确保系统安装了 2024 年 7 月的最新安全补丁。

2. 手动安装补丁：访问微软的安全更新页面[https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077\]，下载并安装针对 CVE-2024-38077 的补丁。

5 参考资料

微软的安全更新页面：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

原文链接：https://mp.weixin.qq.com/s?__biz=MzkxNzI1OTE3Mw==\&mid=2247492448\&idx=1\&sn=ebe8594134e533002a13968b627f0fca\&chksm=c141f5aaf6367cbce131ffbe1876d222306a62fcaba2c35909c14994217683b45a1e345c093f#rd

👍 点赞，你的认可是我创作的动力！

⭐️ 收藏，你的青睐是我努力的方向！

✏️ 评论，你的意见是我进步的财富！