微软RDL服务极危远程代码执行漏洞(CVE-2024-38077)服务器检查指南
一、漏洞描述
近日,奇安信安全CERT监测到微软官方修复Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077),该漏洞存在于Windows远程桌面许可管理服务(RDL)中,攻击者无需任何权限即可实现远程代码执行,获取服务器最高权限。由于在解码用户输入的许可密钥包时,未正确检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区溢出 。该漏洞影响Windows Server 2000到Windows Server 2025所有版本。
二、漏洞公开情况目前互联网上公开的部分POC验证无效,完整的POC代码已发现。已有利用成功的公开。
三、影响版本
Windows Server 2012 R2 (Server Core installation)Windows Server 2012 R2Windows Server 2012 (Server Core installation)Windows Server 2012Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)Windows Server 2008 for x64-based Systems Service Pack 2Windows Server 2008 for x64-based Systems Service Pack 2Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)Windows Server 2008 for 32-bit Systems Service Pack 2Windows Server 2008 for 32-bit Systems Service Pack 2Windows Server 2016 (Server Core installation)Windows Server 2016Windows Server 2022, 23H2 Edition (Server Core installation)Windows Server 2022 (Server Core installation)Windows Server 2022Windows Server 2019 (Server Core installation)Windows Server 2019
四、漏洞利用及影响情况
1、该漏洞存在于Windows远程桌面许可管理服务(RDL)中,攻击者无需任何权限即可实现远程代码执行,获取服务器最高权限。
2、系统在默认情况不会安装RDL服务,RDL即是Remote Desktop Licensing Service,需要安装远程桌面许可服务RDL组件,用于3389端口上,需要手动√才安装。
3、目前漏洞攻击利用,对于不存在RDL服务的服务器,攻击不成功。
4、互联网网络空间测绘RDL暴露情况,15万+。5、值得注意,该漏洞不影响普通的PC,只对Windows Server 系统有影响。远程桌面服务开启情况。
五、漏洞排查
1、登录Windows Server 服务器 运行 cmd 打开命令窗口 输入 sc queryex 获取系统服务Remote Desktop Licensing 、TermServLicensing开启状态
2、检查服务 是否有 Remote Desktop Licensing 、TermServLicensing 在运行,如果有请列出该主机IP。检查服务器是否需要需要该服务,不需使用时应马上停止服务,单独安装补丁。
六、安全建议
1、安装补丁,下载适合系统版本的补丁进行安装并重启服务器,下载链接https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-380772、限制服务器3389端口远程连接源IP地址,可缩小风险范围
3、停止或卸载RDL服务。
4、严禁将3389暴露在互联网环境,网络出口设备检查网络端口映射情况。
5、关闭远程桌面授权,但关闭远程桌面授权,RDP远程会话会收到限制。限制为2个会话之内。