观天前言:引用奇安信CERT漏洞描述及其影响版本信息,奇安信CERT是国内有名的漏洞响应平台。
- 该漏洞不影响普通的桌面PC端口,只对Windows Server 系统有影响。
- 对于没有启用Remote Desktop Licensing 、TermServLicensing服务的Windows Server服务器,不受影响。
- 微软服务器Windows Server系统在默认情况不会安装RDL服务,RDL即是Remote Desktop Licensing Service
一、漏洞描述
近日,奇安信安全CERT监测到微软官方修复Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077),该漏洞存在于Windows远程桌面许可 管理服务(RDL)中,攻击者无需任何权限即可实现远程代码执行,获取服务器最高权限。由于在解码用户输入的许可密钥包时,未正确检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区溢出 。该漏洞影响Windows Server 2000到Windows Server 2025所有版本。
二、漏洞公开情况
目前互联网上公开的部分POC验证无效,完整的POC代码、EXP已发现。已有利用成功,并上线远控CS平台。
三、影响版本
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
四、漏洞利用及影响情况
1、该漏洞存在于Windows远程桌面许可管理服务(RDL)中,攻击者无需任何权限即可实现远程代码执行,获取服务器最高权限。
2、系统在默认情况不会安装RDL服务,RDL即是Remote Desktop Licensing Service,需要安装远程桌面许可服务RDL组件,用于3389端口上,需要手动√才安装。
3、目前漏洞攻击利用,对于不存在RDL服务的服务器,攻击不成功。
- 互联网网络空间测绘RDL暴露情况,15万+。
- 值得注意,该漏洞不影响普通的PC,只对Windows Server 系统有影响。
远程桌面许可 管理服务开启情况,示例: 请不要在服务器执行该向导!!!无语
五、漏洞排查
1、登录Windows Server 服务器 运行 cmd 打开命令窗口 输入 sc queryex 获取系统服务
2、查看Remote Desktop Licensing 、TermServLicensing开启状态
3、检查服务 是否有 Remote Desktop Licensing 、TermServLicensing 在运行,如果有请列出该主机IP。检查服务器是否需要需要该服务,不需使用时应马上停止卸载服务,单独安装补丁。
4、如上面截图,如何开启Remote Desktop Licensing(RDL服务)就如何关闭,返回去即是关闭方法。
六、安全建议
- 安装补丁,下载适合系统版本的补丁进行安装并重启服务器,下载链接https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
- 限制服务器3389端口远程连接源IP地址,可缩小风险范围,并限制135端口
- 停止或卸载RDL服务。
- 严禁将3389暴露在互联网环境,网络出口设备检查网络端口映射情况。
- 关闭远程桌面授权,RDP远程会话会收到限制。限制为2个会话之内。
