【已复现】微软RDL服务远程代码执行漏洞(CVE-2024-38077)安全风险通告

主要观点总结

这篇文章主要介绍了Windows远程桌面授权服务中的一个远程代码执行漏洞（CVE-2024-38077），该漏洞影响所有启用RDL服务的Windows Server服务器。奇安信CERT发布了安全风险通告并提供了相关的检测工具和处置建议。

关键观点总结

关键观点1: 漏洞名称及编号

Windows远程桌面授权服务远程代码执行漏洞，漏洞编号为QVD-2024-25692和CVE-2024-38077。

关键观点2: 影响对象

影响对象数量级为十万级，主要针对开启了Windows远程桌面服务（3389端口）的服务器。

关键观点3: 漏洞描述

成功利用该漏洞的攻击者可以实现远程代码执行，获取目标系统的控制权，可能导致敏感数据的泄露以及可能的恶意软件传播。

关键观点4: 影响范围

影响所有启用RDL服务的Windows Server服务器，包括多个不同版本的Windows Server系统。

关键观点5: 复现情况

奇安信威胁情报中心安全研究员已经成功复现了这个漏洞，并且提供了相关的检测工具和方法。

关键观点6: 检测工具和方法

提供了针对Windows平台的检测工具和使用方法，以及Linux平台上的检测命令。检测原理是对目标windows服务器的135端口进行测绘获取banner信息，查询是否包含特定UUID来检测RDL服务的存在。

关键观点7: 处置建议

提供了多种处置建议，包括关闭远程桌面授权服务、通过安全组限制相关机器及端口访问、手动安装补丁、使用奇安信天擎终端安全管理系统解决方案等。

正文

请到「今天看啥」查看全文

0 1

漏洞详情

> > > >

影响组件

Windows 远程桌面授权服务（RDL）是一个用于管理远程桌面服务许可证的组件，确保对远程桌面连接的合法性。 该服务被广泛部署于开启了Windows远程桌面服务（3389端口）的服务器上，但漏洞的利用不是通过3389端口，需要先连接135端口发送访问请求，然后服务器给出一个连接RDL服务的动态高端口，再连接访问，如果服务器对外不开放135端口则不可利用。 注意：RDL服务并非默认启用，但出于扩展功能等目的，许多管理员会手动启用它，例如增加远程桌面会话的数量。在一些特定的场景中，如堡垒机和云桌面VDI环境，RDL服务的启用也是必需的。

> > > >

漏洞描述

近日，奇安信CERT监测到官方修复 Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077) ，该漏洞存在于Windows远程桌面许可管理服务（RDL）中，成功利用该漏洞的攻击者可以实现远程代码执行，获取目标系统的控制权，可能导致敏感数据的泄露、以及可能的恶意软件传播。 该漏洞影响所有启用 RDL 服务的 Windows Server服务器，特别是未及时更新 2024 年 7 月微软最新安全补丁的系统。 鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

奇安信 CERT将持续关注该漏洞进展，并第一时间为您更新该漏洞信息。

02

影响范围

> > > >

影响版本

Windows Server 2025 Preview

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

请到「今天看啥」查看全文