CVE-2024-38077:Windows远程桌面授权服务的‘隐形杀手’——深度剖析与紧急防护策略

superman超哥2024-08-13 11:14

文章目录

    • CVE-2024-38077:Windows远程桌面授权服务的'隐形杀手'------深度剖析与紧急防护策略
      • [1 漏洞描述](#1 漏洞描述)
      • [2 漏洞影响](#2 漏洞影响)
        • [2.1 处置优先级:高](#2.1 处置优先级:高)
        • [2.2 影响版本](#2.2 影响版本)
      • [3 漏洞检测](#3 漏洞检测)
        • [3.1 漏洞检测工具](#3.1 漏洞检测工具)
        • [3.2 漏洞检测工具使用介绍](#3.2 漏洞检测工具使用介绍)
          • [3.2.1 漏洞检测工具当前支持三种方式检测](#3.2.1 漏洞检测工具当前支持三种方式检测)
          • [3.2.2 漏洞检测工具返回信息分析](#3.2.2 漏洞检测工具返回信息分析)
        • [3.3 漏洞检测工具获取](#3.3 漏洞检测工具获取)
      • [4 漏洞解决方案](#4 漏洞解决方案)
        • [4.1 临时缓解方案](#4.1 临时缓解方案)
        • [4.2 升级修复方案](#4.2 升级修复方案)
      • [5 参考资料](#5 参考资料)

CVE-2024-38077:Windows远程桌面授权服务的'隐形杀手'------深度剖析与紧急防护策略

今日大部分厂商报告了CVE-2024-38077这个RCE漏洞,是一个危险性较高的漏洞,其CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。漏洞影响Windows Server2000到WindowsServer 2025所有版本,已存在近30年。该漏洞可稳定利用、可远控、可勒索、可蠕虫等,破坏力极大,攻击者无须任何权限即可实现远程代码执行,更是被誉为这是自"永恒之蓝"后,Windows首次出现影响全版本且能高稳定利用的认证前RCE漏洞。

1 漏洞描述

CVE-2024-38077 是 Windows 远程桌面授权服务(RDL)中的一个堆溢出漏洞。该漏洞在解码用户输入的许可密钥包时,未正确验证解码后的数据长度与缓冲区大小之间的关系,从而导致缓冲区溢出。这使得攻击者可以通过发送特制的数据包,在目标服务器上执行任意代码。

需要注意的是,RDL 服务并非默认启用,但许多管理员会手动启用它以扩展功能,例如增加远程桌面会话的数量(默认情况下,Windows 服务器仅允许两个并发会话)。此外,在部分堡垒机和 VDI 场景中,RDL 服务的启用也是必要的。

2 漏洞影响

成功利用该漏洞的攻击者可以实现远程代码执行,控制受影响的服务器,潜在的危害包括数据泄露、系统崩溃,甚至可能被用于传播勒索等恶意软件。此漏洞影响到所有启用了 RDL 服务的 Windows Server服务器,特别是那些未及时更新补丁的系统。

2.1 处置优先级:高

**漏洞类型:**缓冲区溢出

漏洞危害等级:严重

**触发方式:**网络远程

**权限认证要求:**无需权限

**系统配置要求:**需要启用 RDL 服务(默认不开启)

**用户交互要求:**无需用户交互

**利用成熟度:**POC伪代码公开(不可直接使用)

**批量可利用性:**可使用通用 POC/EXP,批量检测/利用

**修复复杂度:**低,官方提供补丁修复方案

2.2 影响版本
复制代码 
该漏洞仅影响Windows Server版本:Windows Server 2000 至 Windows Server 2025 所有版本

3 漏洞检测

3.1 漏洞检测工具

【CVE-2024-38077】深信服批量检测工具。

3.2 漏洞检测工具使用介绍
3.2.1 漏洞检测工具当前支持三种方式检测

  1. 直接针对单ip进行检测:check_38077.exe 192.168.1.1;

  2. 针对ip段进行检测:check_38077.exe 192.168.1.0\24;

  3. ip 导入检测:check_38077.exe -f iplist.txt

3.2.2 漏洞检测工具返回信息分析

漏洞检测工具返回信息概要。

工具返回信息 返回信息说明
Vulnerability Detected. 检测到漏洞
Server Not installed. 扫描的机器并未安装RDL服务
Can Not Reach Host. 无法访问到服务器
Server Patched. 服务器已经安装漏洞补丁
RPC Exception. RPC 异常
Error Code. 其他错误代码
3.3 漏洞检测工具获取

**关注公众号:**超哥的IT私房菜,回复202438077。

4 漏洞解决方案

4.1 临时缓解方案
  1. 临时关闭远程桌面授权服务(RDL)。虽然关闭 RDL 不会影响远程桌面服务,但它会限制同时运行的会话数。
  2. 为防止被利用,建议尽量减少对外直接暴露端口,可利用安全组限制相关机器以及端口仅对可信地址开放。
4.2 升级修复方案

  1. 使用 Windows 自动更新功能,确保系统安装了 2024 年 7 月的最新安全补丁。

  2. 手动安装补丁:访问微软的安全更新页面[https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077\],下载并安装针对 CVE-2024-38077 的补丁。

5 参考资料

微软的安全更新页面:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

原文链接:https://mp.weixin.qq.com/s?__biz=MzkxNzI1OTE3Mw==\&mid=2247492448\&idx=1\&sn=ebe8594134e533002a13968b627f0fca\&chksm=c141f5aaf6367cbce131ffbe1876d222306a62fcaba2c35909c14994217683b45a1e345c093f#rd

👍 点赞,你的认可是我创作的动力!

⭐️ 收藏,你的青睐是我努力的方向!

✏️ 评论,你的意见是我进步的财富!

相关推荐
非凡ghost1 小时前
可拓浏览器:给手机浏览器装上“外挂“!2W+拓展+AI搜索,玩出无限可能!
windows·智能手机·音视频·firefox
小神.Chen2 小时前
如何删除远程桌面的连接记录,一键清理mstsc远程桌面连接的记录
windows
John_ToDebug2 小时前
WebHostView 与 TabStrip 交互机制深度解析
c++·chrome·windows
2401_873479402 小时前
企业安全团队如何配合公安协查?IP查询在电子取证中的技术实践
tcp/ip·安全·网络安全·php
L1624763 小时前
Win11 共享→Windows Server 访问故障总结(极简可复用)
开发语言·windows·php
love530love3 小时前
ComfyUI MediaPipe 终极填坑:解决 incompatible function arguments 报错,基于代理模式的猴子补丁升级版
人工智能·windows·comfyui·mediapipe·猴子补丁·monkey patch·python 3.12
今夕资源网4 小时前
Windows Terminal更舒适的命令行环境 仅11MB 支持并行运行WSLLinux子系统 github开源项目
windows·github·命令行·cmd·terminal
网安情报局4 小时前
如何选择合适的AI大模型:快快云安全AI大模型聚合平台全解析
人工智能·网络安全·ai大模型
java_logo5 小时前
SiYuan 思源笔记 Docker 部署终极指南:Windows+Linux 双平台
windows·笔记·docker·思源笔记·思源笔记部署·docker部署思源笔记·思源笔记文档
忡黑梨6 小时前
eNSP_从直连到BGP全网互通
c语言·网络·数据结构·python·算法·网络安全
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档032026年4月AI大事件深度解读:大模型竞争进入“深水区“04近期有什么ai的新消息,新动态? 2026.4月05【AI】2026 年具身智能模型和世界模型总结062026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot07实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲08在Windows 11上安装Docker的踩坑记录09裂开!ChatGPT 居然开始要手机号验证,附详细解决方法10零基础教你claude code 接入 deepseek V4