2024年08月09日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到微軟官方發(fā)布安全通告:Windows 遠(yuǎn)程桌面授權(quán)服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2024-38077),風(fēng)險(xiǎn)等級(jí)較高��。
目前該漏洞利用方式已在互聯(lián)網(wǎng)上公開,請(qǐng)相關(guān)受影響用戶,及時(shí)排查處理���,以免產(chǎn)生非必要損失��。
漏洞詳情:
該漏洞存在于Windows遠(yuǎn)程桌面許可管理服務(wù)(RDL)中��,該服務(wù)被廣泛部署于開啟Windows遠(yuǎn)程桌面(3389端口)的服務(wù)器����,用于管理遠(yuǎn)程桌面連接許可。攻擊者無需任何前置條件���,無需用戶交互(零點(diǎn)擊)便可直接獲取服務(wù)器很高權(quán)限�,執(zhí)行任意操作���。
Windows遠(yuǎn)程桌面許可服務(wù)在解碼用戶輸入的許可密鑰包時(shí)��,會(huì)將用戶輸入的編碼后的許可密鑰包解碼并存儲(chǔ)到緩沖區(qū)上��,但是在存儲(chǔ)前沒有正確地檢驗(yàn)解碼后數(shù)據(jù)長度與緩沖區(qū)大小之間的關(guān)系���,導(dǎo)致緩沖區(qū)可以被超長的解碼后數(shù)據(jù)溢出。攻擊者可以利用這個(gè)漏洞進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行攻擊��。
風(fēng)險(xiǎn)等級(jí)
高危
影響范圍:
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
修復(fù)建議
1�、更新安裝微軟7月系統(tǒng)補(bǔ)丁�����,若無法自動(dòng)更新補(bǔ)丁的系統(tǒng)�,可參考https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077 。
2����、遠(yuǎn)程桌面授權(quán)服務(wù)(Remote Desktop Licensing Service)非默認(rèn)安裝啟用。若已經(jīng)啟用該服務(wù)����,建議禁用。
3���、為防止被利用���,建議盡量減少對(duì)外暴露端口,可利用安全組限制相關(guān)主機(jī)與端口僅對(duì)可信地址開放�。
參考鏈接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077