Windows Server(0-click)高危风暴来袭!抓紧打补丁!
CVE-2024-38077 是微软近期披露的一个极其严重的远程代码执行漏洞。此漏洞影响从 Windows Server 2000 到 Windows Server 2025 的所有版本,影响范围非常广泛。漏洞存在于 Windows 远程桌面许可管理服务(RDL)中,该服务被广泛部署在启用了远程桌面服务(端口 3389)的服务器上,用于管理远程桌面连接许可。
漏洞名称: CVE-2024-38077
漏洞类型: 远程代码执行 (RCE)
影响范围: 启用 Windows Remote Desktop Licensing(RDL)服务的 Windows 服务器
影响版本: Windows Server 2000 - Windows Server 2025
威胁等级: 严重
利用难度: 容易
漏洞概述
CVE-2024-38077 是微软近期披露的一个极其严重的远程代码执行漏洞。此漏洞影响从 Windows Server 2000 到 Windows Server 2025 的所有版本,影响范围非常广泛。漏洞存在于 Windows 远程桌面许可管理服务(RDL)中,该服务被广泛部署在启用了远程桌面服务(端口 3389)的服务器上,用于管理远程桌面连接许可。
漏洞分析
该漏洞的根本问题在于 Windows 远程桌面许可服务在处理用户输入的许可密钥包时的解码过程。具体而言,该服务会将用户输入的编码后的许可密钥包解码,并将解码后的数据存储在内存缓冲区中。然而,在将解码后的数据写入缓冲区之前,系统并未正确地检查解码后数据的长度与缓冲区大小之间的关系。
这种缺乏边界检查的情况使得攻击者可以通过构造一个超长的、特定格式的编码数据包,利用缓冲区溢出漏洞,向系统注入恶意代码。当数据溢出缓冲区后,攻击者能够覆盖关键的内存区域,从而实现任意代码执行。这一漏洞的存在使得攻击者可以在没有任何身份验证或预置条件的情况下,远程控制受影响的服务器,执行任意操作。
自查流程指引
为了帮助系统管理员和用户检测其系统是否受到 CVE-2024-38077 漏洞的影响,建议按照以下步骤进行自查:
1. 检查系统版本
• 步骤 1: 按住“Win+R”组合键调出“运行”窗口。
• 步骤 2: 在运行框中输入“winver”并点击确定。
• 步骤 3: 系统将弹出一个窗口,显示 Windows 版本信息。
详细见链接,是机房发给我的
https://cloud.tencent.com/developer/article/2443282
https://www.861.cn/News/View.aspx?type=2&id=318
评论8次
狂躁许可是真的让人狂躁
需要开启RDL的,server好像默认都不开。影响应该还好的
这个漏洞利用点的服务默认是不开启的,除非某些堡垒机可能会使用到,感觉影响范围没那么大
利用条件略微有些苛刻,实际环境搭载服务的不是很多
这个玩意不知道行不行https://github.com/qi4L/CVE-2024-38077
试了,没复现成功,作者说是这个代码只限于server2025,但是也没成功。
这个漏洞已经传疯了,目前作者短时间不会公开poc而且这个针对win server版本,但是漏洞依赖那个服务默认是不安装的,而且启动需要额外付费,一般出现在大型组网中
这个玩意不知道行不行https://github.com/qi4L/CVE-2024-38077
已经传疯了 难道已经有redteam开打了?