CVE-2024-38077:Windows远程桌面授权服务的‘隐形杀手’——深度剖析与紧急防护策略

于 2024-08-12 20:03:30 发布
阅读量559 收藏 4
点赞数 19
文章标签: windows 网络安全 漏洞修复 安全漏洞 CVE-2024-38077
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuchaoyang/article/details/141140655
版权

文章目录

CVE-2024-38077:Windows远程桌面授权服务的‘隐形杀手’——深度剖析与紧急防护策略

今日大部分厂商报告了CVE-2024-38077这个RCE漏洞,是一个危险性较高的漏洞,其CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。漏洞影响Windows Server2000到WindowsServer 2025所有版本,已存在近30年。该漏洞可稳定利用、可远控、可勒索、可蠕虫等,破坏力极大,攻击者无须任何权限即可实现远程代码执行,更是被誉为这是自“永恒之蓝”后,Windows首次出现影响全版本且能高稳定利用的认证前RCE漏洞。

1 漏洞描述

CVE-2024-38077 是 Windows 远程桌面授权服务(RDL)中的一个堆溢出漏洞。该漏洞在解码用户输入的许可密钥包时,未正确验证解码后的数据长度与缓冲区大小之间的关系,从而导致缓冲区溢出。这使得攻击者可以通过发送特制的数据包,在目标服务器上执行任意代码。

需要注意的是,RDL 服务并非默认启用,但许多管理员会手动启用它以扩展功能,例如增加远程桌面会话的数量(默认情况下,Windows 服务器仅允许两个并发会话)。此外,在部分堡垒机和 VDI 场景中,RDL 服务的启用也是必要的。

2 漏洞影响

成功利用该漏洞的攻击者可以实现远程代码执行,控制受影响的服务器,潜在的危害包括数据泄露、系统崩溃,甚至可能被用于传播勒索等恶意软件。此漏洞影响到所有启用了 RDL 服务的 Windows Server服务器,特别是那些未及时更新补丁的系统。

2.1 处置优先级:高

**漏洞类型:**缓冲区溢出

漏洞危害等级:严重

**触发方式:**网络远程

**权限认证要求:**无需权限

**系统配置要求:**需要启用 RDL 服务(默认不开启)

**用户交互要求:**无需用户交互

**利用成熟度:**POC伪代码公开(不可直接使用)

**批量可利用性:**可使用通用 POC/EXP,批量检测/利用

**修复复杂度:**低,官方提供补丁修复方案

2.2 影响版本
该漏洞仅影响Windows Server版本:Windows Server 2000 至 Windows Server 2025 所有版本

3 漏洞检测

3.1 漏洞检测工具

【CVE-2024-38077】深信服批量检测工具。

3.2 漏洞检测工具使用介绍
3.2.1 漏洞检测工具当前支持三种方式检测

  1. 直接针对单ip进行检测:check_38077.exe 192.168.1.1;

  2. 针对ip段进行检测:check_38077.exe 192.168.1.0\24;

  3. ip 导入检测:check_38077.exe -f iplist.txt

3.2.2 漏洞检测工具返回信息分析

漏洞检测工具返回信息概要。

工具返回信息返回信息说明
Vulnerability Detected.检测到漏洞
Server Not installed.扫描的机器并未安装RDL服务
Can Not Reach Host.无法访问到服务器
Server Patched.服务器已经安装漏洞补丁
RPC Exception.RPC 异常
Error Code.其他错误代码
3.3 漏洞检测工具获取

**关注公众号:**超哥的IT私房菜,回复202438077。

4 漏洞解决方案

4.1 临时缓解方案
  1. 临时关闭远程桌面授权服务(RDL)。虽然关闭 RDL 不会影响远程桌面服务,但它会限制同时运行的会话数。
  2. 为防止被利用,建议尽量减少对外直接暴露端口,可利用安全组限制相关机器以及端口仅对可信地址开放。
4.2 升级修复方案

  1. 使用 Windows 自动更新功能,确保系统安装了 2024 年 7 月的最新安全补丁。

  2. 手动安装补丁:访问微软的安全更新页面[https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077],下载并安装针对 CVE-2024-38077 的补丁。

5 参考资料

微软的安全更新页面:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

原文链接:https://mp.weixin.qq.com/s?__biz=MzkxNzI1OTE3Mw==&mid=2247492448&idx=1&sn=ebe8594134e533002a13968b627f0fca&chksm=c141f5aaf6367cbce131ffbe1876d222306a62fcaba2c35909c14994217683b45a1e345c093f#rd

👍 点赞,你的认可是我创作的动力!

⭐️ 收藏,你的青睐是我努力的方向!

✏️ 评论,你的意见是我进步的财富!

图片

superman超哥
关注
  • 19
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP-CGI Windows平台远程代码执行漏洞复现(CVE-2024-4577)
0xSec
06-08 2970
2024年6月,PHP官方发布新版本,修复了PHP-CGI中一个远程代码执行漏洞。鉴于该漏洞无前置条件,易于利用,且默认情况下可获取操作系统权限,建议所有使用受影响版本的企业尽快升级修复,以确保安全。
PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
做自己喜欢的事,并将其发挥到极致!
06-11 1946
PHP 在设计时忽略 Windows 中对字符转换的Best-Fit 特性,当 PHP-CGI 运行在Window平台且使用了如下语系(简体中文936/繁体中文950/日文932等)时,攻击者可构造恶意请求绕过 CVE-2012-1823 补丁,从而可在无需登陆的情况下执行任意PHP代码。
Windows核弹漏洞披露!CVE-2024-38077(POC)
weixin_53523921的博客
08-10 3136
Windows核弹漏洞披露!CVE-2024-38077(POC)
震惊!微软又一个永恒之蓝?(CVE-2024-38077)
m0_62100902的博客
08-09 1584
上一个有如此影响力的Windows远程漏洞可能要追溯到2019年的BlueKeep(CVE-2019-0708)漏洞,相较BlueKeep,MadLicense的稳定性更高,且不受网络级身份验证(Network Level Authentication,NLA)的影响。研究人员的全网扫描结果显示,公网上至少有17万台活跃的Windows服务器开启了相关服务,而内网中受影响的服务器数量可能更多。鉴于该漏洞已有成熟稳定的利用证明和公开的验证代码,我们预计攻击者可能迅速开发出完整的漏洞利用方案。
CVE-2024-38077漏洞 2012R2系统更新失败
最新发布
izmyzyq186的博客
08-10 2687
官方漏洞报告链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077下载安装出现报错。
CVE-2024-36401:GeoServer远程代码执行漏洞复现 [附POC]
薛定谔嘚喵博客
07-08 2427
GeoServer是一个开源服务器,允许用户共享和编辑地理空间数据。在版本2.23.6、2.24.4和2.25.2之前存在一个远程代码执行漏洞,该漏洞源于GeoServer 调用的 GeoTools 库 API 评估要素类型的属性/属性名称,从而不安全地将它们传递给 commons-jxpath 库,该库在评估 XPath 表达式时可以执行任意代码。该漏洞允许未经身份验证的用户通过针对默认GeoServer安装的特制输入进行远程代码执行。
CVE-2024-38077】核弹级Windows RCE漏洞如何自检并修复漏洞(附批量漏洞检测工具及分析伪代码)
m0_62783065的博客
08-09 7415
CVE-2024-38077】核弹级RCE漏洞如何自检并修复漏洞(附原文内分析伪代码)
CVE-2024-4577】PHP CGI 远程代码执行漏洞
qq_21039641的博客
06-08 1850
PHP 语言在设计时忽略Windows 作业系统内部对字元编码转换的Best-Fit特性,导致未认证的攻击者可透过特定的字元序列绕过旧有。的保护,透过参数注入等攻击在远端PHP 服务器上执行任意代码。
OpenSSH远程代码执行漏洞CVE-2024-6387)
qq_33163046的博客
07-02 4882
OpenSSH是一套基于安全外壳(SSH)协议的安全网络实用程序,它提供强大的加密功能以确保隐私和安全的文件传输,使其成为远程服务器管理和安全数据通信的必备工具。OpenSSH 自 1995 年问世近 20 年来,首次出现了未经验证的远程执行(RCE)漏洞,攻击者可以提权至 root 最高权限,在不需要用户交互的情况下执行任意代码。该漏洞是由于OpenSSH服务器 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 22万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞: TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
CVE-2019-0708:3389远程桌面代码执行扩展CVE-2019-0708批量检测工具(Rdpscan Bluekeep Check)
02-05
微软3389远程漏洞CVE-2019-0708批量检测工具 0x001 Win下检测 https://github.com/robertdavidgraham/rdpscan C:\Users\K8team\Desktop\rdpscan-master\vs10\Release 的目录 2019/06/02 02:11 <DIR> . 2019/06/02 02...
CVE-2021-22192:CVE-2021-22192靶场:未授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:未授权用户RCE漏洞0x10靶场环境0x20目录结构CVE-2021-22192├── README.md ............... [此 README 说明]├── imgs .................... [辅助 README 说明的图片]├─...
CVE-2019-11708:针对Windows 64位版本的Firefox的完整漏洞利用链(CVE-2019-11708和CVE-2019-9810)
02-04
这是针对Windows 64位Firefox的完整的浏览器入侵漏洞利用链(CVE-2019-11708和CVE-2019-9810)。 它使用CVE-2019-9810在内容流程以及父流程中获取代码执行,并使用CVE-2019-11708诱骗父流程浏览到任意URL。 在过去...
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
美股文本信息抽取
cts618
08-07 321
美股文本信息抽取
python
m0_70848838的博客
08-08 381
Dict([(k0,v0),(k1,v0),(k2,v2)]) []中的每个()中都有2个值,⼀个是key,⼀个是value⾃动 解析为⼀个字典了。元组 (),(1,2,3,4) 创建空元组,创建有初始值的元组。字典.values() 字典中的value组成的列表。
Python3的安装及基础指令
m0_74614835的博客
08-08 447
>> dic={'name': 'huajuan', 'age': '21', 'gender': ' 女' 'phone': '1888'}{'name': 'huajuan', 'age': '21', 'gender': '女', 'phone': '1888'}>>> d={'id': 1001, 'name': '花卷', 'age': 21, 'gender': '女'}>>> lista=['李四', '张三', '王五']字典中的每个k-v组成元组,这些元组组成一个新的列表。
Linux学习笔记:Linux基础知识汇总(个人复习版)
欢迎相互探讨交流知识呀~
08-05 1934
使用fdisk -l查看分区挂载情况,或者查看/etc/mtab文件,然后找到最接近的挂载点信息。4、创建站点主页 【eg.在/var/www/html内新建index.html】write_enable=YES//ftp可写,即上传权限;下载权限是默认赋予的。将数据同步写入硬盘中的指令,在关机之前输入,可以多输几次。使用df命令,如df -h,查看磁盘分区的挂载点。使用lsblk命令,查看系统的磁盘设备使用情况。-a:显示所有文件(包括隐藏文件),简洁版。-R:显示所有文件以及子目录下文件,简洁版。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值