CVE-2024-38077:Windows远程桌面授权服务的‘隐形杀手’——深度剖析与紧急防护策略

superman超哥2024-08-13 11:14

文章目录

    • CVE-2024-38077:Windows远程桌面授权服务的'隐形杀手'------深度剖析与紧急防护策略
      • [1 漏洞描述](#1 漏洞描述)
      • [2 漏洞影响](#2 漏洞影响)
        • [2.1 处置优先级:高](#2.1 处置优先级:高)
        • [2.2 影响版本](#2.2 影响版本)
      • [3 漏洞检测](#3 漏洞检测)
        • [3.1 漏洞检测工具](#3.1 漏洞检测工具)
        • [3.2 漏洞检测工具使用介绍](#3.2 漏洞检测工具使用介绍)
          • [3.2.1 漏洞检测工具当前支持三种方式检测](#3.2.1 漏洞检测工具当前支持三种方式检测)
          • [3.2.2 漏洞检测工具返回信息分析](#3.2.2 漏洞检测工具返回信息分析)
        • [3.3 漏洞检测工具获取](#3.3 漏洞检测工具获取)
      • [4 漏洞解决方案](#4 漏洞解决方案)
        • [4.1 临时缓解方案](#4.1 临时缓解方案)
        • [4.2 升级修复方案](#4.2 升级修复方案)
      • [5 参考资料](#5 参考资料)

CVE-2024-38077:Windows远程桌面授权服务的'隐形杀手'------深度剖析与紧急防护策略

今日大部分厂商报告了CVE-2024-38077这个RCE漏洞,是一个危险性较高的漏洞,其CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。漏洞影响Windows Server2000到WindowsServer 2025所有版本,已存在近30年。该漏洞可稳定利用、可远控、可勒索、可蠕虫等,破坏力极大,攻击者无须任何权限即可实现远程代码执行,更是被誉为这是自"永恒之蓝"后,Windows首次出现影响全版本且能高稳定利用的认证前RCE漏洞。

1 漏洞描述

CVE-2024-38077 是 Windows 远程桌面授权服务(RDL)中的一个堆溢出漏洞。该漏洞在解码用户输入的许可密钥包时,未正确验证解码后的数据长度与缓冲区大小之间的关系,从而导致缓冲区溢出。这使得攻击者可以通过发送特制的数据包,在目标服务器上执行任意代码。

需要注意的是,RDL 服务并非默认启用,但许多管理员会手动启用它以扩展功能,例如增加远程桌面会话的数量(默认情况下,Windows 服务器仅允许两个并发会话)。此外,在部分堡垒机和 VDI 场景中,RDL 服务的启用也是必要的。

2 漏洞影响

成功利用该漏洞的攻击者可以实现远程代码执行,控制受影响的服务器,潜在的危害包括数据泄露、系统崩溃,甚至可能被用于传播勒索等恶意软件。此漏洞影响到所有启用了 RDL 服务的 Windows Server服务器,特别是那些未及时更新补丁的系统。

2.1 处置优先级:高

**漏洞类型:**缓冲区溢出

漏洞危害等级:严重

**触发方式:**网络远程

**权限认证要求:**无需权限

**系统配置要求:**需要启用 RDL 服务(默认不开启)

**用户交互要求:**无需用户交互

**利用成熟度:**POC伪代码公开(不可直接使用)

**批量可利用性:**可使用通用 POC/EXP,批量检测/利用

**修复复杂度:**低,官方提供补丁修复方案

2.2 影响版本
该漏洞仅影响Windows Server版本:Windows Server 2000 至 Windows Server 2025 所有版本

3 漏洞检测

3.1 漏洞检测工具

【CVE-2024-38077】深信服批量检测工具。

3.2 漏洞检测工具使用介绍
3.2.1 漏洞检测工具当前支持三种方式检测

  1. 直接针对单ip进行检测:check_38077.exe 192.168.1.1;

  2. 针对ip段进行检测:check_38077.exe 192.168.1.0\24;

  3. ip 导入检测:check_38077.exe -f iplist.txt

3.2.2 漏洞检测工具返回信息分析

漏洞检测工具返回信息概要。

工具返回信息 返回信息说明
Vulnerability Detected. 检测到漏洞
Server Not installed. 扫描的机器并未安装RDL服务
Can Not Reach Host. 无法访问到服务器
Server Patched. 服务器已经安装漏洞补丁
RPC Exception. RPC 异常
Error Code. 其他错误代码
3.3 漏洞检测工具获取

**关注公众号:**超哥的IT私房菜,回复202438077。

4 漏洞解决方案

4.1 临时缓解方案
  1. 临时关闭远程桌面授权服务(RDL)。虽然关闭 RDL 不会影响远程桌面服务,但它会限制同时运行的会话数。
  2. 为防止被利用,建议尽量减少对外直接暴露端口,可利用安全组限制相关机器以及端口仅对可信地址开放。
4.2 升级修复方案

  1. 使用 Windows 自动更新功能,确保系统安装了 2024 年 7 月的最新安全补丁。

  2. 手动安装补丁:访问微软的安全更新页面[https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077\],下载并安装针对 CVE-2024-38077 的补丁。

5 参考资料

微软的安全更新页面:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

原文链接:https://mp.weixin.qq.com/s?__biz=MzkxNzI1OTE3Mw==\&mid=2247492448\&idx=1\&sn=ebe8594134e533002a13968b627f0fca\&chksm=c141f5aaf6367cbce131ffbe1876d222306a62fcaba2c35909c14994217683b45a1e345c093f#rd

👍 点赞,你的认可是我创作的动力!

⭐️ 收藏,你的青睐是我努力的方向!

✏️ 评论,你的意见是我进步的财富!

相关推荐
qmx_0717 分钟前
HTB-Jerry(tomcat war文件、msfvenom)
java·web安全·网络安全·tomcat
衍生星球7 小时前
【网络安全】对称密码体制
网络·安全·网络安全·密码学·对称密码
程序猿小D7 小时前
第二百三十五节 JPA教程 - JPA Lob列示例
java·数据库·windows·oracle·jdk·jpa
掘根7 小时前
【网络】高级IO——poll版本TCP服务器
网络·数据库·sql·网络协议·tcp/ip·mysql·网络安全
iummature9 小时前
ZLMediaKit Windows编译以及使用
windows
网安加社区9 小时前
国家网络安全宣传周 | 2024年网络安全领域重大政策法规一览
安全·网络安全·政策法规
weixin_4462608511 小时前
24年蓝桥杯及攻防世界赛题-MISC-3
网络安全·蓝桥杯
周伯通*12 小时前
Windows上,使用远程桌面连接Ubuntu
linux·windows·ubuntu
weixin_4462608512 小时前
24年蓝桥杯及攻防世界赛题-MISC-2
网络安全·蓝桥杯
GDAL14 小时前
GNU力量注入Windows:打造高效跨平台开发新纪元
服务器·windows·gnu
热门推荐
01RAG 实践- Ollama+RagFlow 部署本地知识库02组基轨迹建模 GBTM的介绍与实现(Stata 或 R)032024年高教社杯数学建模国赛C题超详细解题思路分析04Coze扣子平台完整体验和实践(附国内和国际版对比)05苍穹外卖面试总结06【2024数模国赛赛题思路公开】国赛B题思路丨附可运行代码丨无偿自提07yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)08CCF-CSP认证考试 202406-3 文本分词 100分题解09【2024高教社杯全国大学生数学建模竞赛】B题 生产过程中的决策问题——解题思路 代码 论文10浏览器插件——ModHeader 的分享和学习