漏洞概述

漏洞名称

Windows 远程桌面授权服务远程代码执行漏洞

漏洞编号

QVD-2024-25692,CVE-2024-38077

公开时间

2024-07-09

影响对象数量级

十万级

奇安信评级

高危

CVSS 3.1分数

8.1

威胁类型

代码执行

利用可能性

POC状态

已公开(伪代码)

在野利用状态

未知

EXP状态

未公开

技术细节状态

已公开

危害描述:成功利用该漏洞的攻击者可以实现远程代码执行,获取目标系统的控制权,可能导致敏感数据的泄露、以及可能的恶意软件传播。

0漏洞详情

影响组件

Windows 远程桌面授权服务(RDL)是一个用于管理远程桌面服务许可证的组件,确保对远程桌面连接的合法性。该服务被广泛部署于开启了Windows远程桌面服务(3389端口)的服务器上,但漏洞的利用不是通过3389端口,需要先连接135端口发送访问请求,然后服务器给出一个连接RDL服务的动态高端口,再连接访问,如果服务器对外不开放135端口则不可利用。注意:RDL服务并非默认启用,但出于扩展功能等目的,许多管理员会手动启用它,例如增加远程桌面会话的数量。在一些特定的场景中,如堡垒机和云桌面VDI环境,RDL服务的启用也是必需的。

漏洞描述

近日,奇安信CERT监测到官方修复Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077),该漏洞存在于Windows远程桌面许可管理服务(RDL)中,成功利用该漏洞的攻击者可以实现远程代码执行,获取目标系统的控制权,可能导致敏感数据的泄露、以及可能的恶意软件传播。该漏洞影响所有启用 RDL 服务的 Windows Server服务器,特别是未及时更新 2024 年 7 月微软最新安全补丁的系统。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

奇安信 CERT将持续关注该漏洞进展,并第一时间为您更新该漏洞信息。

02 影响范围

影响版本

Windows Server 2025 Preview

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

其他受影响组件

03 处置建议

安全更新

使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。

也可以采用以下官方解决方案及缓解方案来防护此漏洞:

缓解措施:

1.关闭远程桌面授权服务。该服务默认情况下并未开启。

2.该漏洞利用与远程桌面RDP端口(默认情况下为3389端口)无关,可利用安全组限制相关机器以及端口仅对可信地址开放。

Windows自动更新

Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”

2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)

3、选择“检查更新”,等待系统将自动检查并下载可用更新

4、重启计算机,安装更新

系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的补丁并安装:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

04 参考资料

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。