当前位置:   article > 正文

Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)_kb5040569

kb5040569

一、漏洞描述

微软披露最新的远程代码执行超高危漏洞CVE-2024-38077, CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。漏洞影响Windows Server 2000到Windows Server 2025所有版本,已存在近30年。该漏洞可稳定利用、可远控、可勒索、可蠕虫等,破坏力极大,攻击者无须任何权限即可实现远程代码执行。

漏洞编码CVE-2024-38077CVE-2024-38077

漏洞类型:远程代码执行

影响范围:开启Windows Remote Desktop Licensing(RDL)Service 的Windows服务器,Windows Server 2000 - Windows Server 2025,具体如下:

Windows Serversion 2008 6.0.0 < version < 6.0.6003.22769
Windows Serversion 2008 R2 6.1.0 < version < 6.1.7601.27219
Windows Serversion 2012 6.2.0 < version < 6.2.9200.24975
Windows Serversion 2012 R2 6.3.0 < version < 6.3.9600.22074
Windows Serversion 2016 10.0.0 < version <10.0.14393.7159
Windows Serversion 2022 10.0.0 < version <10.0.20348.2582

开启该服务(Windows 远程桌面授权服务)并且操作系统版本在受影响范围的 Windows Server 受影响,没有开启该服务但是操作系统版本在受影响范围的Windows Server 不受影响,Windows 10、Windows 11 等非 Server 版本的操作系统,不论是否开启Windows 远程桌面(RDS),均不受影响。

综合风险评价:<利用难度>:容易;<威胁等级>:严重;高危漏洞

这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。攻击者无需任何前置条件,无需用户交互(零点击)便可直接获取服务器最高权限,执行任意操作。建议尽快通过官网公告更新安全补丁。深信服已率先提供解决方案,可通过相应产品进行防护。

二、漏洞复现及处理

2.1 漏洞复现

在这里插入图片描述
利用过程:Windows远程桌面许可服务在解码用户输入的许可密钥包时,会将用户输入的编码后的许可密钥包解码并存储到缓冲区上,但是在存储前没有正确地检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区可以被超长的解码后数据溢出。攻击者可以利用这个漏洞进一步实现远程命令执行攻击。

2.2 漏洞排查

1)”Win+R”组合键调出“运行”,输入“winver”后执行确定,检查对应系统版本是否在上文中提到的漏洞影响范围内。

2)在服务器管理-角色管理里确认如下远程桌面授权服务(Remote Desktop License
Service/RDL)没有被安装使用,且未启用即可,启用时RDL会监听随机高位
端口;安装完成后,服务 Name为“TermServLicensing”,Display Name 为“Remote Desktop Licensing”,如非必要可禁用该服务。
在这里插入图片描述

在这里插入图片描述

3)在“设置”-“更新与安全”-”Windows更新”-“更新历史”中检查是否存在以下表格中对应的系统补丁。现场为windows server2012 R2,如果存在以下补丁(KB5040569,内包括了 2024 年 6 月 11 日发布的更新KB5039294),则证明漏洞已修复。
在这里插入图片描述
漏洞补丁参考:
在这里插入图片描述

没有的手动下载KB5040569补丁包

在这里插入图片描述

上述补丁包可替换如下:
2023-适用于 Windows Server 2012 R2 的 02 服务堆栈更新,适合基于 x64 的系统 (KB5022922)
Windows Server 2012 R2 更新程序 (KB3021910)
2022-适用于 Windows Server 2012 R2 的 05 服务堆栈更新,适合基于 x64 的系统 (KB5014025)
2022-适用于 Windows Server 2012 R2 的 04 服务堆栈更新,适合基于 x64 的系统 (KB5012672)
2022-适用于 Windows Server 2012 R2 的 07 服务堆栈更新,适合基于 x64 的系统 (KB5016264)
2020-适用于 Windows Server 2012 R2 的 07 服务堆栈更新,适合基于 x64 的系统 (KB4566425)
2022-适用于 Windows Server 2012 R2 的 10 服务堆栈更新,适合基于 x64 的系统 (KB5018922)
2021-适用于 Windows Server 2012 R2 的 04 服务堆栈更新,适合基于 x64 的系统 (KB5001403)
2023-适用于 Windows Server 2012 R2 的 03 服务堆栈更新,适合基于 x64 的系统 (KB5023790)
2023-适用于 Windows Server 2012 R2 的 08 服务堆栈更新,适合基于 x64 的系统 (KB5029368)
2023-适用于 Windows Server 2012 R2 的 09 服务堆栈更新,适合基于 x64 的系统 (KB5030329)
2024-适用于 Windows Server 2012 R2 的 02 服务堆栈更新,适合基于 x64 的系统 (KB5034866)
2024-适用于 Windows Server 2012 R2 的 03 服务堆栈更新,适合基于 x64 的系统 (KB5035968)
2024-适用于 Windows Server 2012 R2 的 01 服务堆栈更新,适合基于 x64 的系统 (KB5034587)
2023-适用于 Windows Server 2012 R2 的 06 服务堆栈更新,适合基于 x64 的系统 (KB5027574)
2023-适用于 Windows Server 2012 R2 的 11 服务堆栈更新,适合基于 x64 的系统 (KB5032308)
2024-适用于 Windows Server 2012 R2 的 06 服务堆栈更新,适合基于 x64 的系统 (KB5039340)
2019-适用于 Windows Server 2012 R2 的 09 服务堆栈更新,适合基于 x64 的系统 (KB4512938)
2024-适用于 Windows Server 2012 R2 的 04 服务堆栈更新,适合基于 x64 的系统 (KB5037021)
2019-适用于 Windows Server 2012 R2 的 11 服务堆栈更新,适合基于 x64 的系统 (KB4524445)
2020-适用于 Windows Server 2012 R2 的 03 服务堆栈更新,适合基于 x64 的系统 (KB4540725)
2019-适用于 Windows Server 2012 R2 的 10 服务堆栈更新,适合基于 x64 的系统 (KB4521864)
2020-适用于 Windows Server 2012 R2 的 06 服务堆栈更新,适合基于 x64 的系统 (KB4562253)
2019-适用于 Windows Server 2012 R2 的 07 服务堆栈更新,适合基于 x64 的系统 (KB4504418)
2022-适用于 Windows Server 2012 R2 的 09 服务堆栈更新,适合基于 x64 的系统 (KB5017398)
Windows Server 2012 R2 更新程序 (KB3173424)

安装此更新后,Windows Server 可能会影响整个组织的远程桌面连接。 如果在远程桌面网关中使用旧协议 (通过 HTTP) 进行远程过程调用,则可能会发生此问题。 因此,远程桌面连接可能会中断。此问题可能会间歇性发生,例如每 30 分钟重复一次。 在此时间间隔内,登录会话会丢失,用户需要重新连接到服务器。 IT 管理员可以将此跟踪为 TSGateway 服务的终止,该服务因异常代码 0xc0000005而无响应。可禁止通过管道进行连接,以及通过 RD 网关的端口 \pipe\RpcProxy\3388。或者,编辑客户端设备的注册表(HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client),并将 RDGClientTransport 的值设置为 0x00000000 (0)

现场看最新的是KB3118401,从官网查询确认后并非最新:
在这里插入图片描述
在这里插入图片描述

有小伙伴反馈,上述2012 R2更新会出现重启后回退安装失败的情况,请参照:Windows 更新挂起,重启后卸载新更新的方法排查,或查看windowsupdate。log

在这里插入图片描述

三、2024年8月近期其他windows漏洞

1)Windows TCP/IP 协议栈远程执行代码漏洞(CVE-2024-38063)

漏洞等级:高危
漏洞描述:Windows TCP/IP 协议栈存在整数溢出漏洞,该漏洞会影响 Windows TCP/IP 堆栈,允许未经身份验证的攻击者通过发送特制的 IPv6 数据包在目标系统上执行任意代码。对于启用了 IPv6 的 Windows 系统均受影响,由于 Windows 默认启用了 IPv6 协议栈支持;对于拥有公网 IPv6 地址的 Windows 系统受此漏洞影响,对于无公网 IPv6 地址但是拥有 IPv6 本地链接地址(以fe80::开头)也受影响。禁用 IPv6 的系统不受此漏洞的影响。

修复,官方已补发补丁,参看CVE-2024-38063,一般会出现在你的windows更新里,直接更新就行;安装此更新后,可能无法更改用户帐户个人资料图片,错误代码为 0x80070520。
在这里插入图片描述

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/笔触狂放9/article/detail/989797
推荐阅读
相关标签
  

闽ICP备14008679号