首页 > 其他分享 >高危漏洞CVE-2024-38077的修复指南

高危漏洞CVE-2024-38077的修复指南

时间:2024-08-14 08:57:13浏览次数:16  
标签:installation Windows 补丁 Server 2024 漏洞 38077 RDL CVE

根据2024年8月9日,国家信息安全漏洞共享平台(CNVD)收录了Windows远程桌面许可服务远程代码执行漏洞(CNVD-2024-34918,对应CVE-2024-38077)。未经身份认证的攻击者可利用漏洞远程执行代码,获取服务器控制权限。目前,该漏洞的部分技术原理和概念验证伪代码已公开,厂商已发布安全更新完成修复。CNVD建议受影响的单位和用户安全即刻升级到最新版本。

一、漏洞情况分析

该漏洞存于Windows远程桌面许可管理服务(Remote Desktop License Service,RDL)中,RDL是Windows Server操作系统的一个服务,用于管理和颁发远程桌面连接(RDS)许可。攻击者无需任何前置条件,无需用户交互(零点击)便可直接获取服务器最高权限,执行任意操作。

RDL不是Windows Server操作系统的默认启用服务。默认情况下,Windows服务器远程桌面服务仅支持两个并发会话,在启用RDP多并发会话支持时,需要手动安装RDL服务。

2024年8月9日上午9时,研究人员在境外网站公开了RDL服务远程代码执行漏洞的部分技术原理和概念验证(POC)伪代码,该伪代码目前尚无法直接运行,研究者将其命名为狂躁许可(MadLicense)。RDL服务在解码用户输入的许可密钥包时,未正确验证解码后的数据长度与缓冲区大小之间的关系,从而导致堆缓冲区溢出。未经身份认证的攻击者利用该漏洞,通过远程向目标Windows Server服务器发送恶意构造的数据包,从而执行任意代码,实现对服务器的权限获取和完全控制。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞名称Windows Server 远程桌面许可服务远程代码执行漏洞
漏洞类型远程代码执行
漏洞CVE编号CVE-2024-38077
漏洞影响服务Windows Remote Desktop Licensing (RDL)服务
影响版本范围Windows Server 2000~2025 全版本未安装修复补丁均受影响

三、漏洞处置建议

特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照

一、排查方式

1. 检查系统补丁与build版本

  • 使用Win+R组合键调出运行窗口,输入cmd按回车按键打开控制台窗口。

  • 输入systeminfo命令,检查系统安装补丁信息。

  • 输入winver,检查系统build版本信息

判断方式:

- 1)根据操作系统版本找到对应补丁编号与Build版本号

- 2)若已安装对应补丁,则不受漏洞影响(若有两个补丁则任选一安装即可)

- 3)若当前系统Build版本号大于或等于表格中的Build版本号,则不受漏洞影响。
操作系统版本补丁编号Build版本号
Windows Server 2022 23H2 Edition (Server Core installation)KB504043810.0.25398.1009
Windows Server 2022 (Server Core installation)KB504043710.0.20348.2582
Windows Server 2022KB504043710.0.20348.2582
Windows Server 2019 (Server Core installation)KB504043010.0.17763.6054
Windows Server 2019KB504043010.0.17763.6054
Windows Server 2016 (Server Core installation)KB504043410.0.14393.7159
Windows Server 2016KB504043410.0.14393.7159
Windows Server 2012 R2 (Server Core installation)KB50404566.3.9600.22074
Windows Server 2012 R2KB50404566.3.9600.22074
Windows Server 2012 (Server Core installation)KB50404856.2.9200.24975
Windows Server 2012KB50404856.2.9200.24975
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)KB5040497或KB50404986.1.7601.27219
Windows Server 2008 R2 for x64-based Systems Service Pack 1KB5040497或KB50404986.1.7601.27219
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)KB5040490或KB50404996.0.6003.22769
Windows Server 2008 for x64-based Systems Service Pack 2KB5040490或KB50404996.0.6003.22769
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)KB5040490或KB50404996.0.6003.22769
Windows Server 2008 for 32-bit Systems Service Pack 2KB5040490或KB50404996.0.6003.22769

2. 检查RDL服务安装状态

  • Win键+R运行powershell,执行命令Get-WindowsFeature -Name RDS-Licensing

检查Install State结果:

- 未安装显示为Avaliable,不受漏洞影响

- 已安装显示为Installed,此情况下需要安装升级补丁,或关闭RDL服务,否则受漏洞影响

3. 检查RDL服务运行状态

  • Win键+R运行services.msc

  • 检查remote desktop license服务是否运行:

    • 1)未启用时状态显示为空 ,自动类型显示为手动,双击进入详情界面显示未已停止,此情况不受漏洞影响

    • 2)已启用时状态显示为正在运行,自动类型显示为自动,此情况下需要安装升级补丁,或关闭RDL服务,否则受漏洞影响

二、整改修复

1. 安装更新补丁

微软官方已发布针对该漏洞的修复方案,受影响用户请通过官方链接下载并更新补丁。

针对所有受影响的资产,根据具体的Windows Server系统版本,下载对应的补丁升级包,补丁下载地址:https://catalog.update.microsoft.com/Search.aspx?q=KB5040456此处修改为对应的补丁号)。

请务必尽快安排合适的时间对其进行升级。

2. 关闭RDL服务

对于暂无法安装更新补丁的情况,微软公司建议在确认RDL服务非必要的前提下,采取关闭RDL服务等临时防范措施。

使用Win+R组合键调出运行窗口,输入powershell按回车按键打开控制台窗口,执行以下命令

Stop-Service -Name "TermServLicensing" -Force

参考:

https://www.cnvd.org.cn/webinfo/show/10286

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077


最后~欢迎关注我! @Linux学习的那些事儿

我的个人资源整理,满满都是干货:可按需访问领取

200T免费资料,持续发布中... icon-default.png?t=N7T8https://vlink.cc/route

如果本文对你有帮助,欢迎点赞、收藏、转发给朋友,让我有持续创作的动力!

标签:installation,Windows,补丁,Server,2024,漏洞,38077,RDL,CVE
From: https://blog.csdn.net/weixin_44047596/article/details/141150255

相关文章

  • 2024牛客多校7&8
    7通读题解之后决定把能看懂的题目补了(毕竟能看懂的也不多,某些算法听都没听过QwQ)AMaximumSubarraySum(A)(出题人解法没看明白)解法2的切入点类似之前某场div2的D题(题解传送门),将操作过程视为选出\(\lfloorn/k\rfloor\)个长度为\(k\)的子序列,答案序列中大于\(k\)的部分......
  • 2024.8.12 test
    A\(n\timesn\)的平面上有\(m\)条通道,从\((a_i,b_i)\)到\((c_i,d_i)\),代价为\(|a_i-c_i|+|b_i-d_i|-1\)。同时你可以花\(1\)的代价移动到四联通的点。问所有点之间两两最短距离之和。\(n\le1e9,m\le500\)。走一条通道可以减少\(1\)的代价,我们先求出所有的代价。......
  • 2024.8.13 test
    A\(n\)个人之间有若干认识关系,你要把这些人划分为两个集合,使得集合里的每个人都认识偶数个人。求方案数,\(n\le1000\)。设每个人的状态为\(0/1\)表示两个集合,那么第\(i\)个人在其集合里认识的人个数是\(\sum_{j}(x_i\otimesx_j\otimes1)\)。解这个方程,高斯消元,若自由......
  • 2024.8.13随笔
    前言今天讲的是串串,知识不是特别难懂,但题目上限很高,还会和其他许多经典算法结合起来,考题大多比较综合。8.13早上早读后赶忙补了前两天的小总结,准备上课。还是tqx讲课,讲的内容有hash、KMP、trie、AC自动机以及有关的题目。他讲课声音不是很大,幸好我坐在最前面,不然听课可能......
  • HDU-ACM 2024 Day3
    T1004游戏(HDU7460)注意到对于两个人,他们\(t\)轮后能力值相同的概率只与他们初始时的能力差有关,所以我们先\(\text{FFT}\)求出\(|a_i-a_j|=k\)的\((i,j)\)对数。构造多项式\(F(x)=(p_1x^2+p_2+p_3x)\),其中\(p_1,p_2,p_3\),分别表示在一轮中两个人相对......
  • 春秋云境 | 逻辑漏洞 | CVE-2022-23134
    目录靶标介绍开启靶场获取flag靶标介绍ZabbixSiaZabbix是拉脱维亚ZabbixSIA(ZabbixSia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix存在安全漏洞,该漏洞源于在初始设置过程之后,setup.php文件的某些步骤不仅可以由超级......
  • 春秋云境 | 逻辑漏洞 | CVE-2020-13933
    靶标介绍<p>ApahceShiro由于处理身份验证请求时出错存在权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。</p>开启靶场发现不管拿点哪里都是登录页面,发现登录框那里写着flag在/admin里访问之后并没有反应,在后......
  • 春秋云境 | RCE | CVE-2022-25578
    目录靶标介绍开启靶场蚁剑连接获取flag 靶标介绍taocmsv3.0.2允许攻击者通过编辑.htaccess文件执行任意代码开启靶场点击下面的管理发现是一个登录页面,默认用户名是admin密码是tao登录上来之后,进入到文件管理,编辑.htaccess文件,插入下面这条代码SetH......
  • 春秋云境 | RCE | CVE-2019-12422
    目录靶标介绍开启靶场漏洞利用靶标介绍ApacheShiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。ApacheShiro1.4.2之前版本中存在安全漏洞。当ApacheShiro使用了默认的‘记住我’配置时,攻击者可利用该漏洞对cookies实施......
  • 微软NET FrameWork离线运行库+离线安装包合集,一键安装版 微软.NET离线运行库合集2024
     微软.NET离线运行库合集2024最新版是一款专为便捷、高效地管理.NET运行库而设计的工具。这款软件集成了各种版本的.NET运行库,并提供了离线安装的功能,使用户能够在没有网络连接的情况下轻松地安装所需的运行库。该软件的出现极大地简化了.NET开发环境的配置和维护过程。用户可......