微软RDL远程代码执行(RCE)漏洞(CVE-2024-38077)修复手册(SOP)

最新推荐文章于 2024-08-23 19:03:23 发布
最新推荐文章于 2024-08-23 19:03:23 发布
阅读量712 收藏 18
点赞数 20
分类专栏: 漏洞处置SOP 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43727442/article/details/141190270
版权

图片

强烈建议紧急处置 CVE-2024-38077 远程代码执行(RCE)漏洞

CVE-2024-38077 是一个被微软确认的远程代码执行(RCE)漏洞,影响范围涵盖开启Windows Remote Desktop Licensing(RDL)服务的Windows服务器,版本从Windows Server 2000至Windows Server 2025。攻击者无需获取任何权限便可实现远程代码执行程序,实现对目标系统的完全控制。

图片

这是自“永恒之蓝”后,Windows首次出现影响全版本且能高稳定利用的认证前RCE漏洞。这一漏洞的利用难度较低,威胁等级极高,需要立即采取措施进行处置。

以下是针对这个漏洞的紧急处置建议和具体操作过程:

紧急处置建议

  1. 检查系统版本:

    • 影响Windows Server 2000至Windows Server 2025的所有版本。

    • 使用“Win+R”组合键调出“运行”,输入“winver”后执行确定,检查系统版本是否受影响。

  1. 自动安全更新:

    • 使用Windows自动更新功能。Windows系统默认启用Microsoft Update,将自动下载并安装更新。

    • 手动检查更新:点击“开始菜单”或按Windows快捷键,进入“设置” > “更新和安全” > “Windows更新”,选择“检查更新”,然后重启计算机以安装更新。

  1. 安装补丁:

    • 微软已发布针对CVE-2024-38077的安全补丁,建议立即通过Windows Update自动更新或手动下载并安装补丁。

    • 对于无法自动更新的系统版本,可以访问微软官方更新指南下载并安装适用于该系统的补丁。补丁下载地址:https://msrc.microsoft.com/update-guide。

    • 更新前请确保备份重要数据,并在更新后进行充分测试,确保系统稳定运行。

  1. 禁止远程的桌面授权的服务(如果不是必需的):

    • 若您系统中的某项服务不再必要,建议将其禁用,以作为一项安全最佳实践。禁用未使用或不必要的服务可以有效降低安全漏洞的风险,提升系统的整体安全性。

【特别提醒】生产环境中的Windows Server可能因为长期未更新和测试环境中的服务器情况差异较大。强烈建议参照生产环境中的Windows Server实际版本和补丁包安装情况测试验证,避免环境不一致导致安装补丁包失败或者服务器不能正常启动等其它更严重的问题。
 

具体操作过程

  1. 自动安全更新操作过程:

启用自动更新:

  • 打开“控制面板”,选择“系统和安全”,然后点击“Windows Update”。

  • 在左侧菜单中,点击“更改设置”。

  • 选择“自动安装更新(推荐)”并点击“确定”。

手动检查更新:

  • 点击“开始”按钮或按下Windows键。

  • 输入“设置”并选择它,或者直接点击“设置”图标。

  • 在“设置”窗口中,点击“更新和安全”。

  • 在“Windows更新”部分,点击“检查更新”。

  • 如果有可用更新,系统将自动下载并安装它们。

  • 安装完成后,根据提示重启计算机。

  1. 安装补丁操作过程:

注意事项:

  • 在安装补丁前,请确保备份重要数据

  • 安装补丁后,进行系统测试以确保稳定运行。

通过Windows Update自动更新:

  • 遵循上述自动安全更新的步骤,确保Windows Update设置为自动安装更新。

手动下载并安装补丁:

  • 打开网页浏览器,访问微软官方更新指南。

  • 搜索CVE-2024-38077,找到对应的补丁。

  • 下载适用于您操作系统版本的补丁文件。

  • 双击下载的补丁文件,启动安装向导。

  • 遵循屏幕上的指示完成补丁安装。

  • 安装完成后,根据提示重启计算机。

  1. 禁用远程桌面授权服务操作过程(如果不是必需的):

如果不再需要使用该服务,建议将其禁用。禁用未使用或不必要的服务可以有效降低安全漏洞的风险,提升系统的整体安全性。

  • 打开“服务器管理器”或“计算机管理”。

  • 展开“服务和应用程序”,然后点击“服务”。

  • 在服务列表中找到“远程桌面授权(Remote Desktop Service)”服务。

  • 右键点击“远程桌面授权”并选择“属性”。

  • 在“常规”选项卡中,将“启动类型”更改为“禁用”。

  • 点击“停止”按钮停止该服务。

  • 点击“确定”保存更改。

或者通过命令行操作:

  • 以管理员身份打开命令提示符或PowerShell。

  • 输入以下命令并按回车键:

    sc config TermService start= disablednet stop TermService

  • 这将禁用远程桌面授权服务。

总结

CVE-2024-38077是一个严重的远程代码执行漏洞,对开启Windows Remote Desktop Licensing服务的服务器构成重大威胁。建议受影响的用户立即采取上述紧急处置措施,确保系统安全。同时,持续关注微软及其他安全厂商的安全公告和更新信息,及时获取最新的防护指南和解决方案。

我们编写针对该漏洞的「漏洞处置SOP」,希望能帮到您!

关注公众号↓

安全漏洞防治中心
关注
  • 20
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【系统安全】Windows 远程桌面授权服务(RDL)远程代码执行漏洞CVE-2024-38077
做自己喜欢的事,并将其发挥到极致!
08-14 331
Windows远程桌面授权服务(RDL)是一个用于管理远程桌面服务许可证的组件,确保对远程桌面连接的合法性。该服务被广泛部署于开启了Windows远程桌面服务(3389端口)的服务器上,但漏洞的利用不是通过3389端口,需要先连接135端口发送访问请求,然后服务器给出一个连接RDL服务的动态高端口,再连接访问,如果服务器对外不开放135端口则不可利用
CVE-2024-38077是一个关于Windows远程桌面许可服务的远程代码执行漏洞.docx
08-13
CVE-2024-38077是一个关于Windows远程桌面许可服务(Remote Desktop Licensing Service,简称RDL)的远程代码执行漏洞。以下是对该漏洞的详细解析: 一、漏洞概述 漏洞编号:CVE-2024-38077 漏洞类型:远程代码执行RCE) 影响服务:Windows远程桌面许可服务(RDL) 影响范围:Windows Server 2000到Windows Server 2025(包括预览版)的所有版本 CVSS评分:9.8(表示漏洞的严重性和利用难度极低) 二、漏洞详情 漏洞成因:RDL服务未能正确处理特制的RDP协议流量,允许未经身份验证的威胁者连接到远程桌面授权服务并发送恶意消息,从而触发缓冲区溢出,在目标系统上执行任意代码。 攻击方式:攻击者无需任何前置条件或用户交互(零点击),即可直接获取服务器最高权限并执行任意操作。 潜在影响:一旦漏洞被恶意利用,攻击者可以随意安装恶意软件、窃取敏感信息、篡改或删除数据,甚至以此为跳板发动进一步攻击。 三、修复建议 安装补丁微软已发布针对该漏洞的安全更新,建议受影响的用户尽快下载并安装相关补丁
CVE-2024-38077】核弹级Windows RCE漏洞如何自检并修复漏洞(附批量漏洞检测工具及分析伪代码
热门推荐
m0_62783065的博客
08-09 1万+
CVE-2024-38077】核弹级RCE漏洞如何自检并修复漏洞(附原文内分析伪代码
微软7月补丁星期二修复142个漏洞,含4个0day
smellycat000的专栏
07-10 1086
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士微软在7月补丁星期二供修复了142个漏洞,其中2个是已遭利用漏洞,2个是已公开的0day。该补丁日共修复5个严重漏洞,均为远程代码执行漏洞。这些漏洞的类别如下:26个提权漏洞24个安全特性绕过漏洞59个远程代码执行漏洞9个信息泄露漏洞17个拒绝服务漏洞7个欺骗漏洞014个0day漏洞本月补丁星期二修复了2个已遭利用的漏洞和2个公开披露的0day漏...
超高危漏洞CVE-2024-38077 补丁
zengliguang的专栏
08-10 1625
CVE - 2024 - 38077 补丁可以通过以下几种方式获取和安装(以下是综合一些常规建议和步骤等):微软官方途径(推荐):注意事项和其他补充点
高危漏洞CVE-2024-38077修复指南
Linux学习的那些事儿
08-13 7362
根据2024年8月9日,**国家信息安全漏洞共享平台**(CNVD)收录了Windows远程桌面许可服务远程代码执行漏洞**(CNVD-2024-34918,对应CVE-2024-38077)**。未经身份认证的攻击者可利用漏洞远程执行代码,获取服务器控制权限。目前,该漏洞的部分技术原理和概念验证伪代码已公开,厂商已发布安全更新完成修复。CNVD建议受影响的单位和用户安全即刻升级到最新版本。
CVE-2024-38077漏洞 2012R2系统更新失败
izmyzyq186的博客
08-10 8027
官方漏洞报告链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077下载安装出现报错。
微软RDL远程代码执行超高危漏洞CVE-2024-38077漏洞检测排查方式
最新发布
m0_46699477的博客
08-23 287
CVE-2024-38077微软近期披露的一个极其严重的远程代码执行漏洞。该漏洞存在于Windows远程桌面许可管理服务(RDL)中,攻击者无需任何权限即可实现远程代码执行,获取服务器最高权限。由于在解码用户输入的许可密钥包时,未正确检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区溢出。该漏洞影响 Windows Server 2000 到 Windows Server 2025 所有版本。虽然RDL服务不是默认安装,但很多管理员会手工开启,所以需要尽快排查并按照微软官方处置建议进行更新升级
CVE-2024-38077 微软 RDP 漏洞修复 报错 不适用于你的计算机 解决方法
it知识分享 free for nothing..
08-15 2081
CVE-2024-38077 微软 RDP 漏洞修复 报错 不适用于你的计算机解决方法
最新微软远程代码执行漏洞CVE-2024-38077
收集盒 Book box
08-09 1340
选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”->“系统和安全”->“Windows更新”)。近日监测到被命名为“狂躁许可(MadLicense)”的远程桌面许可服务远程代码执行漏洞CVE-2024-38077)的部分漏洞细节及PoC伪代码在互联网上公开,微软已在2024年7月月度更新中发布此漏洞补丁。安装补丁后,请重启计算机以确保补丁生效。
Windows 远程桌面授权服务远程代码执行漏洞CVE-2024-38077
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-10 3093
开启该服务(Windows 远程桌面授权服务)并且操作系统版本在受影响范围的 Windows Server 受影响,没有开启该服务但是操作系统版本在受影响范围的Windows Server 不受影响,Windows 10、Windows 11 等非 Server 版本的操作系统,不论是否开启Windows 远程桌面(RDS),均不受影响。这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。
[微软漏洞0809]远程桌面授权服务(RDL)远程代码执行漏洞CVE-2024-38077
yh
08-09 2204
CVE-2024-38077
微软RDL服务极危远程代码执行漏洞CVE-2024-38077)服务器检查指南
qq_42868421的博客
08-10 767
近日,奇安信安全CERT监测到微软官方修复Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077),该漏洞存在于Windows远程桌面许可管理服务(RDL)中,攻击者无需任何权限即可实现远程代码执行,获取服务器最高权限。2、系统在默认情况不会安装RDL服务,RDL即是Remote Desktop Licensing Service,需要安装远程桌面许可服务RDL组件,用于3389端口上,需要手动√才安装。3、目前漏洞攻击利用,对于不存在RDL服务的服务器,攻击不成功。
CVE-2024-38077:Windows远程桌面授权服务的‘隐形杀手’——深度剖析与紧急防护策略
超哥的博客
08-12 1644
CVE-2024-38077:Windows远程桌面授权服务的‘隐形杀手’——深度剖析与紧急防护策略1 漏洞描述2 漏洞影响2.1 处置优先级:高2.2 影响版本3 漏洞检测3.1 漏洞检测工具3.2
Windows核弹漏洞披露!CVE-2024-38077(POC)
weixin_53523921的博客
08-10 4890
Windows核弹漏洞披露!CVE-2024-38077(POC)
CVE-2024-38077 Windows远程桌面授权服务漏洞介绍
轻舟已过万重山
08-14 1007
漏洞编号漏洞类型:远程代码执行 (RCE)影响范围:Windows远程桌面授权服务危害程度:极高发现时间:2024年8月初。
CVE-2024-38077漏洞复现及修复(无坑版教程)
weixin_61782918的博客
08-13 4199
微软超高危“狂躁许可”漏洞CVE-2024-38077的检测及修复过程
Windows远程代码执行漏洞CVE-2024-38077)风险公告
qcloud_security的博客
08-09 2529
近期,微软披露一个远程代码执行严重漏洞CVE-2024-38077)。这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被部署于开启了Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。
震惊!微软又一个永恒之蓝?(CVE-2024-38077)
m0_62100902的博客
08-09 3342
上一个有如此影响力的Windows远程漏洞可能要追溯到2019年的BlueKeep(CVE-2019-0708)漏洞,相较BlueKeep,MadLicense的稳定性更高,且不受网络级身份验证(Network Level Authentication,NLA)的影响。研究人员的全网扫描结果显示,公网上至少有17万台活跃的Windows服务器开启了相关服务,而内网中受影响的服务器数量可能更多。鉴于该漏洞已有成熟稳定的利用证明和公开的验证代码,我们预计攻击者可能迅速开发出完整的漏洞利用方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值