CVE-2024-38077:Windows远程桌面授权服务的‘隐形杀手’——深度剖析与紧急防护策略

文章目录

    • CVE-2024-38077:Windows远程桌面授权服务的'隐形杀手'------深度剖析与紧急防护策略
      • [1 漏洞描述](#1 漏洞描述)
      • [2 漏洞影响](#2 漏洞影响)
        • [2.1 处置优先级:高](#2.1 处置优先级:高)
        • [2.2 影响版本](#2.2 影响版本)
      • [3 漏洞检测](#3 漏洞检测)
        • [3.1 漏洞检测工具](#3.1 漏洞检测工具)
        • [3.2 漏洞检测工具使用介绍](#3.2 漏洞检测工具使用介绍)
          • [3.2.1 漏洞检测工具当前支持三种方式检测](#3.2.1 漏洞检测工具当前支持三种方式检测)
          • [3.2.2 漏洞检测工具返回信息分析](#3.2.2 漏洞检测工具返回信息分析)
        • [3.3 漏洞检测工具获取](#3.3 漏洞检测工具获取)
      • [4 漏洞解决方案](#4 漏洞解决方案)
        • [4.1 临时缓解方案](#4.1 临时缓解方案)
        • [4.2 升级修复方案](#4.2 升级修复方案)
      • [5 参考资料](#5 参考资料)

CVE-2024-38077:Windows远程桌面授权服务的'隐形杀手'------深度剖析与紧急防护策略

今日大部分厂商报告了CVE-2024-38077这个RCE漏洞,是一个危险性较高的漏洞,其CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。漏洞影响Windows Server2000到WindowsServer 2025所有版本,已存在近30年。该漏洞可稳定利用、可远控、可勒索、可蠕虫等,破坏力极大,攻击者无须任何权限即可实现远程代码执行,更是被誉为这是自"永恒之蓝"后,Windows首次出现影响全版本且能高稳定利用的认证前RCE漏洞。

1 漏洞描述

CVE-2024-38077 是 Windows 远程桌面授权服务(RDL)中的一个堆溢出漏洞。该漏洞在解码用户输入的许可密钥包时,未正确验证解码后的数据长度与缓冲区大小之间的关系,从而导致缓冲区溢出。这使得攻击者可以通过发送特制的数据包,在目标服务器上执行任意代码。

需要注意的是,RDL 服务并非默认启用,但许多管理员会手动启用它以扩展功能,例如增加远程桌面会话的数量(默认情况下,Windows 服务器仅允许两个并发会话)。此外,在部分堡垒机和 VDI 场景中,RDL 服务的启用也是必要的。

2 漏洞影响

成功利用该漏洞的攻击者可以实现远程代码执行,控制受影响的服务器,潜在的危害包括数据泄露、系统崩溃,甚至可能被用于传播勒索等恶意软件。此漏洞影响到所有启用了 RDL 服务的 Windows Server服务器,特别是那些未及时更新补丁的系统。

2.1 处置优先级:高

**漏洞类型:**缓冲区溢出

漏洞危害等级:严重

**触发方式:**网络远程

**权限认证要求:**无需权限

**系统配置要求:**需要启用 RDL 服务(默认不开启)

**用户交互要求:**无需用户交互

**利用成熟度:**POC伪代码公开(不可直接使用)

**批量可利用性:**可使用通用 POC/EXP,批量检测/利用

**修复复杂度:**低,官方提供补丁修复方案

2.2 影响版本
该漏洞仅影响Windows Server版本:Windows Server 2000 至 Windows Server 2025 所有版本

3 漏洞检测

3.1 漏洞检测工具

【CVE-2024-38077】深信服批量检测工具。

3.2 漏洞检测工具使用介绍
3.2.1 漏洞检测工具当前支持三种方式检测
  1. 直接针对单ip进行检测:check_38077.exe 192.168.1.1;

  2. 针对ip段进行检测:check_38077.exe 192.168.1.0\24;

  3. ip 导入检测:check_38077.exe -f iplist.txt

3.2.2 漏洞检测工具返回信息分析

漏洞检测工具返回信息概要。

工具返回信息 返回信息说明
Vulnerability Detected. 检测到漏洞
Server Not installed. 扫描的机器并未安装RDL服务
Can Not Reach Host. 无法访问到服务器
Server Patched. 服务器已经安装漏洞补丁
RPC Exception. RPC 异常
Error Code. 其他错误代码
3.3 漏洞检测工具获取

**关注公众号:**超哥的IT私房菜,回复202438077。

4 漏洞解决方案

4.1 临时缓解方案
  1. 临时关闭远程桌面授权服务(RDL)。虽然关闭 RDL 不会影响远程桌面服务,但它会限制同时运行的会话数。
  2. 为防止被利用,建议尽量减少对外直接暴露端口,可利用安全组限制相关机器以及端口仅对可信地址开放。
4.2 升级修复方案
  1. 使用 Windows 自动更新功能,确保系统安装了 2024 年 7 月的最新安全补丁。

  2. 手动安装补丁:访问微软的安全更新页面[https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077\],下载并安装针对 CVE-2024-38077 的补丁。

5 参考资料

微软的安全更新页面:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

原文链接:https://mp.weixin.qq.com/s?__biz=MzkxNzI1OTE3Mw==\&mid=2247492448\&idx=1\&sn=ebe8594134e533002a13968b627f0fca\&chksm=c141f5aaf6367cbce131ffbe1876d222306a62fcaba2c35909c14994217683b45a1e345c093f#rd

👍 点赞,你的认可是我创作的动力!

⭐️ 收藏,你的青睐是我努力的方向!

✏️ 评论,你的意见是我进步的财富!

相关推荐
hairenjing11238 小时前
使用 Mac 数据恢复从 iPhoto 图库中恢复照片
windows·stm32·嵌入式硬件·macos·word
九鼎科技-Leo10 小时前
了解 .NET 运行时与 .NET 框架:基础概念与相互关系
windows·c#·.net
Lionhacker11 小时前
网络工程师这个行业可以一直干到退休吗?
网络·数据库·网络安全·黑客·黑客技术
九鼎科技-Leo12 小时前
什么是 ASP.NET Core?与 ASP.NET MVC 有什么区别?
windows·后端·c#·asp.net·mvc·.net
centos0813 小时前
PWN(栈溢出漏洞)-原创小白超详细[Jarvis-level0]
网络安全·二进制·pwn·ctf
程序员小予15 小时前
如何成为一名黑客?小白必学的12个基本步骤
计算机网络·安全·网络安全
黎明晓月16 小时前
Java之字符串分割转换List
java·windows·list
九鼎科技-Leo16 小时前
在 C# 中,ICollection 和 IList 接口有什么区别?
windows·c#·.net
蜗牛学苑_武汉17 小时前
Wazuh入侵检测系统的安装和基本使用
网络·网络安全