远程代码执行超高危漏洞CVE-2024-38077

已于 2024-08-12 14:06:04 修改
阅读量558 收藏 9
点赞数 5
文章标签: 安全架构 web安全
于 2024-08-12 14:04:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44737168/article/details/141129774
版权

远程代码执行超高危漏洞CVE-2024-38077

微软披露最新的远程代码执行超高危漏洞CVE-2024-38077, CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。

危害

这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。该漏洞可稳定利用、可远控、可勒索、可蠕虫等,破坏力极大,攻击者无需任何前置条件,无需用户交互(零点击)便可直接获取服务器最高权限,执行任意操作。

一旦漏洞被恶意攻击者或APT组织利用,将快速蔓延,或波及全球所有使用微软服务器的用户。这是自“永恒之蓝”后,Windows首次出现影响全版本且能高稳定利用的认证前RCE漏洞。建议尽快通过官网公告更新安全补丁。

漏洞影响版本

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

影响范围

开启Windows Remote Desktop Licensing(RDL)Service的Windows服务器

官方解决方案

更新最新发布补丁,或者可参考以下链接下适用于该系统的补丁并安装:

 https://msrc.microsoft.com/updateguide/vulnerability/CVE-2024-38077

修复建议关闭RDL服务

(1)使用如下命令行,先确认一下RDL服务是不是开启:

  sc query TermServLicensing

(2)使用如下命令行,先关闭RDL服务:

  sc stop TermServLicensing

漏洞分析

Windows远程桌面许可服务在解码用户输入的许可密钥包时,会将用户输入的编码后的许可密钥包解码并存储到缓冲区上,但是在存储前没有正确地检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区可以被超长的解码后数据溢出。攻击者可以利用这个漏洞进一步实现远程命令执行攻击。

GitHub漏洞poc
 https://github.com/qi4L/CVE-2024-38077

使用方法

 options:
   -h, --help            show this help message and exit
   --target_ip TARGET_IP
                         Target IP, eg: 192.168.120.1
   --evil_ip EVIL_IP     Evil IP, eg: 192.168.120.2
   --evil_dll_path EVIL_DLL_PATH
                         Evil dll path, eg: \smb\evil_dll.dll
   --check_vuln_exist CHECK_VULN_EXIST
                         Check vulnerability exist before exploit

老芒果886
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker容器逃逸漏洞-CVE-2024-21626
墨痕诉清风的博客
07-23 385
Snyk 在 Docker 引擎以及其他容器化技术(例如 Kubernetes)使用的 runc <=1.1.11 的所有版本中发现了一个漏洞。利用此问题可能会导致容器逃逸到底层主机操作系统,无论是通过执行恶意映像还是使用恶意 Dockerfile 或上游映像构建映像(即使用时FROM)
【系统安全】Windows 远程桌面授权服务(RDL)远程代码执行漏洞CVE-2024-38077
做自己喜欢的事,并将其发挥到极致!
08-14 330
Windows远程桌面授权服务(RDL)是一个用于管理远程桌面服务许可证的组件,确保对远程桌面连接的合法性。该服务被广泛部署于开启了Windows远程桌面服务(3389端口)的服务器上,但漏洞的利用不是通过3389端口,需要先连接135端口发送访问请求,然后服务器给出一个连接RDL服务的动态高端口,再连接访问,如果服务器对外不开放135端口则不可利用
超高漏洞CVE-2024-38077 补丁
zengliguang的专栏
08-10 1625
CVE - 2024 - 38077 补丁可以通过以下几种方式获取和安装(以下是综合一些常规建议和步骤等):微软官方途径(推荐):注意事项和其他补充点
[微软漏洞0809]远程桌面授权服务(RDL)远程代码执行漏洞CVE-2024-38077
yh
08-09 2204
CVE-2024-38077
CVE-2024-36401 GeoServer rce 分析
weixin_52381874的博客
07-05 558
GeoServer 是一个开源服务允许用户共享和编辑地理空间数据。在版本 2.23.6、2.24.4 和 2.25.2 之前,多个 OGC 请求参数允许未经身份验证的用户通过针对默认 GeoServer 安装的特制输入进行远程代码执行 (RCE),因为将属性名称评估为 XPath 表达式会不安全。GeoServer 调用的 GeoTools 库 API 评估要素类型的属性/属性名称,从而不安全地将它们传递给 commons-jxpath 库,该库在评估 XPath 表达式时可以执行任意代码
CVE-2024-38077漏洞win2016server系统报错此更新不适用你的计算机,补丁号:KB5040434。
weixin_52371314的博客
08-14 2699
1.在根据微软官方提供的补丁进行安装补丁时,系统出现了报错,官方漏洞报告链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 842
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
CVE-2024-6387 分析
CoLin的pwn小屋
07-03 1679
CVE-2024-6387 未认证远程代码执行漏洞分析
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 3696
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
远程执行代码漏洞(CVE-2018-0886)漏洞修复
08-21
**远程执行代码漏洞(CVE-2018-0886)详解及修复** 远程执行代码漏洞(Remote Code Execution,RCE)是网络安全领域的一个重要话题,它指的是攻击者利用软件中的漏洞,在未经用户授权的情况下,能够在目标系统上执行...
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391)
qq_51577576的博客
10-15 1076
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391) S2-008 涉及多个漏洞,主要利用对传入参数没有严格限制,导致多个地方可以执行恶意代码。 第一种情况其实就是 S2-007,在异常处理时的OGNL 执行第二种的cookie的方式,虽然在struts2没有对恶意代码进行限制,但是java的webserver(Tomcat),对cookie 的名称有较多限制,在传入struts2之前就被处理,从而较为鸡肋第三种需要开启devModedebug 模式。
2024年网络安全最全CVE-2024-32532 认证绕过漏洞分析
2401_84281703的博客
05-03 1199
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以点击这里获取。
Windows远程代码执行漏洞CVE-2024-38077)风险公告
qcloud_security的博客
08-09 2528
近期,微软披露一个远程代码执行严重漏洞CVE-2024-38077)。这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被部署于开启了Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。
CVE-2024-38077 微软 RDP 漏洞修复 报错 不适用于你的计算机 解决方法
最新发布
it知识分享 free for nothing..
08-15 2079
CVE-2024-38077 微软 RDP 漏洞修复 报错 不适用于你的计算机解决方法
CVE-2024-38063(Windows TCP/IP 远程执行代码漏洞) 漏洞详情
yh
08-15 2330
CVE-2024-38063是影响 Windows TCP/IP 的严重 RCE 漏洞。它的 CVSSv3 评分为 9.8,被评为“更有可能被利用”。攻击者可以通过向主机发送特制的 IPv6 数据包来远程利用此漏洞。微软的缓解建议建议禁用 IPv6,因为只有 IPv6 数据包才可以被滥用来利用此漏洞。微软已经为所有受支持的 Windows 和 Windows Server 版本(包括 Server Core 安装)发布了补丁。
安全:软件漏洞风险评估示例 CVE-2023-45853
十年运维开发经验的王义杰在此分享自己的知识和经验
11-24 667
如果我们的Java项目不涉及处理ZIP文件,或者我们有严格的文件验证和处理机制,那么这个漏洞的风险就会大大降低。:我们可以强调我们的系统中已经实施的安全措施,如定期的安全审计、漏洞扫描、防火墙保护等,以减轻客户的担忧。通过上述解释,我们可以有效地向客户传达对这个漏洞的认识和我们为减轻风险所采取的措施,从而减少客户的担忧。:最后,告知客户我们将持续关注官方对这一漏洞的更新和补丁,一旦有可用的修复措施,将立即采取行动。:可以指出,目前没有公开可用的利用这个漏洞代码,这意味着攻击者利用这个漏洞的可能性较低。
微软RDL服务极远程代码执行漏洞CVE-2024-38077)服务器检查指南
qq_42868421的博客
08-10 767
近日,奇安信安全CERT监测到微软官方修复Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077),该漏洞存在于Windows远程桌面许可管理服务(RDL)中,攻击者无需任何权限即可实现远程代码执行,获取服务器最高权限。2、系统在默认情况不会安装RDL服务,RDL即是Remote Desktop Licensing Service,需要安装远程桌面许可服务RDL组件,用于3389端口上,需要手动√才安装。3、目前漏洞攻击利用,对于不存在RDL服务的服务器,攻击不成功。
OpenSSH 远程代码执行漏洞(CVE-2024-6387)
07-04
<< OpenSSH 是一个广泛使用的开源网络协议,用于提供安全远程登录(SSH)服务。CVE-2024-6387是一个公开的安全漏洞,也被称为“OpenSSH 命令注入漏洞”或“SSH Remote Code Execution (RCE)”,它发生在某些版本的 OpenSSH 中。 这个漏洞允许攻击者通过精心构造的 SSH 命令执行任意系统命令,从而获得对远程服务器的控制,如果用户权限足够,这可能导致严重的数据泄露或系统破坏。具体来说,攻击者能够利用该漏洞通过发送恶意 SSH 延迟请求,使得 SSH 服务器处理命令的过程中出现错误,从而绕过输入验证机制,得以执行未经授权的操作。 修复此漏洞的方法通常是升级到最新版的 OpenSSH 客户端和服务器软件,因为开发团队通常会为这类高漏洞发布补丁。为了保护系统安全,管理员应尽快应用这些更新,并限制不必要的 SSH 访问权限,只允许经过身份验证并有明确授权的用户连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值