文章目录
-
- CVE-2024-38077:Windows远程桌面授权服务的'隐形杀手'------深度剖析与紧急防护策略
-
- [1 漏洞描述](#1 漏洞描述)
- [2 漏洞影响](#2 漏洞影响)
-
- [2.1 处置优先级:高](#2.1 处置优先级:高)
- [2.2 影响版本](#2.2 影响版本)
- [3 漏洞检测](#3 漏洞检测)
-
- [3.1 漏洞检测工具](#3.1 漏洞检测工具)
- [3.2 漏洞检测工具使用介绍](#3.2 漏洞检测工具使用介绍)
-
- [3.2.1 漏洞检测工具当前支持三种方式检测](#3.2.1 漏洞检测工具当前支持三种方式检测)
- [3.2.2 漏洞检测工具返回信息分析](#3.2.2 漏洞检测工具返回信息分析)
- [3.3 漏洞检测工具获取](#3.3 漏洞检测工具获取)
- [4 漏洞解决方案](#4 漏洞解决方案)
-
- [4.1 临时缓解方案](#4.1 临时缓解方案)
- [4.2 升级修复方案](#4.2 升级修复方案)
- [5 参考资料](#5 参考资料)
CVE-2024-38077:Windows远程桌面授权服务的'隐形杀手'------深度剖析与紧急防护策略
今日大部分厂商报告了CVE-2024-38077这个RCE漏洞,是一个危险性较高的漏洞,其CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。漏洞影响Windows Server2000到WindowsServer 2025所有版本,已存在近30年。该漏洞可稳定利用、可远控、可勒索、可蠕虫等,破坏力极大,攻击者无须任何权限即可实现远程代码执行,更是被誉为这是自"永恒之蓝"后,Windows首次出现影响全版本且能高稳定利用的认证前RCE漏洞。
1 漏洞描述
CVE-2024-38077 是 Windows 远程桌面授权服务(RDL)中的一个堆溢出漏洞。该漏洞在解码用户输入的许可密钥包时,未正确验证解码后的数据长度与缓冲区大小之间的关系,从而导致缓冲区溢出。这使得攻击者可以通过发送特制的数据包,在目标服务器上执行任意代码。
需要注意的是,RDL 服务并非默认启用,但许多管理员会手动启用它以扩展功能,例如增加远程桌面会话的数量(默认情况下,Windows 服务器仅允许两个并发会话)。此外,在部分堡垒机和 VDI 场景中,RDL 服务的启用也是必要的。
2 漏洞影响
成功利用该漏洞的攻击者可以实现远程代码执行,控制受影响的服务器,潜在的危害包括数据泄露、系统崩溃,甚至可能被用于传播勒索等恶意软件。此漏洞影响到所有启用了 RDL 服务的 Windows Server服务器,特别是那些未及时更新补丁的系统。
2.1 处置优先级:高
**漏洞类型:**缓冲区溢出
漏洞危害等级:严重
**触发方式:**网络远程
**权限认证要求:**无需权限
**系统配置要求:**需要启用 RDL 服务(默认不开启)
**用户交互要求:**无需用户交互
**利用成熟度:**POC伪代码公开(不可直接使用)
**批量可利用性:**可使用通用 POC/EXP,批量检测/利用
**修复复杂度:**低,官方提供补丁修复方案
2.2 影响版本
该漏洞仅影响Windows Server版本:Windows Server 2000 至 Windows Server 2025 所有版本3 漏洞检测
3.1 漏洞检测工具
【CVE-2024-38077】深信服批量检测工具。
3.2 漏洞检测工具使用介绍
3.2.1 漏洞检测工具当前支持三种方式检测
-
直接针对单ip进行检测:check_38077.exe 192.168.1.1;
-
针对ip段进行检测:check_38077.exe 192.168.1.0\24;
-
ip 导入检测:check_38077.exe -f iplist.txt
3.2.2 漏洞检测工具返回信息分析
漏洞检测工具返回信息概要。
| 工具返回信息 | 返回信息说明 |
|---|---|
| Vulnerability Detected. | 检测到漏洞 |
| Server Not installed. | 扫描的机器并未安装RDL服务 |
| Can Not Reach Host. | 无法访问到服务器 |
| Server Patched. | 服务器已经安装漏洞补丁 |
| RPC Exception. | RPC 异常 |
| Error Code. | 其他错误代码 |
3.3 漏洞检测工具获取
**关注公众号:**超哥的IT私房菜,回复202438077。
4 漏洞解决方案
4.1 临时缓解方案
- 临时关闭远程桌面授权服务(RDL)。虽然关闭 RDL 不会影响远程桌面服务,但它会限制同时运行的会话数。
- 为防止被利用,建议尽量减少对外直接暴露端口,可利用安全组限制相关机器以及端口仅对可信地址开放。
4.2 升级修复方案
-
使用 Windows 自动更新功能,确保系统安装了 2024 年 7 月的最新安全补丁。
-
手动安装补丁:访问微软的安全更新页面[https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077\],下载并安装针对 CVE-2024-38077 的补丁。
5 参考资料
微软的安全更新页面:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
👍 点赞,你的认可是我创作的动力!
⭐️ 收藏,你的青睐是我努力的方向!
✏️ 评论,你的意见是我进步的财富!
