CVE-2024-38077漏洞复现及修复(无坑版教程)

于 2024-08-13 09:43:49 发布
阅读量753 收藏 8
点赞数 11
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61782918/article/details/141154771
版权

1、漏洞背景

        根据微软最新披露的远程代码执行超高危漏洞CVE-2024-38077, CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。攻击者无需任何前置条件,无需用户交互(零点击)便可直接获取服务器最高权限,执行任意操作。漏洞影响Windows Server 2000到Windows Server 2025所有版本,这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。

2、漏洞复现及分析

为深入理解此漏洞,我搭建了包含漏洞的Windows Server 2016环境进行详细分析:

2.1、未安装RDL远程桌面授权服务检测结果

2.1.1、未安装RDL远程桌面授权服务

如下图,此时状态为未安装RDL远程桌面服务

2.1.2、漏洞检测不存在

使用CVE-2024-38077漏洞检测工具,显示Server Not installed,表示扫描的机器并未安装RDL服务,确认漏洞不存在

2.2、安装RDL远程桌面授权服务检测结果

2.2.1、安装RDL远程桌面授权服务

服务器管理 - 添加角色和功能 - 远程桌面服务安装

安装重启后验证RDL远程桌面服务已开启成功

2.2.2、漏洞检测存在

使用CVE-2024-38077漏洞检测工具进行验证,显示Vulnerability Detected,表示检测到了漏洞,确认漏洞存在

2.3、漏洞分析结论

经过对该漏洞的初步分析,结论如下:

  1. CVE-2024-38077漏洞仅影响Windows Server系列,不影响Windows PC。
  2. 漏洞根源在于远程桌面授权服务,且该服务默认并非自动开启。因此,即使启用了RDP服务,也不意味着必然受到此漏洞影响(除非同时启用了RDL服务)

3、检查当前系统版本

使用“Win+R”组合键调出“运行”,输入“winver”后执行确定,检查当前系统版本号为windows server 2016 14393.1884,windows server 2016的安全版本号为14397.7159,因当前版本号小于安全版本号,因此受CVE-2024-38077漏洞。

以下图片中“Build Number”为Windows Server的安全版本号,如果等于或高于表格中的版本,则不存在此漏洞

4、补丁安装

4.1、自动检查更新

  1. 点击Windows徽标键
  2. 点击“设置”图标
  3. 在“设置”窗口中,点击“更新和安全”
  4. 点击“windows更新”
  5. 选择“检查更新”,等待系统将自动检查并下载可用更新
  6. 安装完成后,根据提示重启计算机。可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。

4.2、手动下载补丁并安装

对于不能自动更新的系统版本,可参考以下步骤下载适用于该系统的补丁并安装

1)打开微软CVE-2024-38077补丁包位置,找到Windows server 16的补丁包

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

2)下载Windows server 16的补丁包KB5040434

3)将下载好的补丁包进行解压

4)写一个update.bat脚本进行安装

5)安装过程中报错 ,定位报错原因:“错误:0x800f0823”(如没有遇到报错则等待安装完成即可)

6)根据报错信息“错误:0x800f0823”,查找解决方法

7)对windows服务堆栈补丁包进行下载

  https://www.catalog.update.microsoft.com/Search.aspx?q=servicing%20stack

8)下载好的windows服务堆栈补丁包双击安装

9)重新运行update.bat脚本安装补丁

  出现“操作成功完成”证明CVE-2024-38077漏洞补丁包KB5040434安装成功

  小tip:由于补丁包将近2G,因此安装时间较长,保守估时2h+,安装时请耐心等待

10)安装完成后,根据提示重启计算机,让安装好的补丁完成配置更新

5、漏洞修复验证

确保漏洞已成功修复,可采取以下两种措施验证CVE-2024-38077漏洞是否完成修复

5.1、查看系统补丁安装记录

在“控制面板”-“程序”-”程序和功能”-“已安装更新”中检查是否存在KBS040434系统补丁,如下图存在,则证明漏洞已修复

5.2、使用漏洞检测工具

如下图,使用CVE-2024-38077漏洞检测工具,显示Server Patched,表示服务器已经安装漏洞补丁,确认漏洞已完成修复

至此,CVE-2024-38077漏洞已成功部署补丁,完成修复。

wi5e
关注
  • 11
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP-CGI Windows平台远程代码执行漏洞复现(CVE-2024-4577)
0xSec
06-08 2970
2024年6月,PHP官方发布新本,修复了PHP-CGI中一个远程代码执行漏洞。鉴于该漏洞无前置条件,易于利用,且默认情况下可获取操作系统权限,建议所有使用受影响本的企业尽快升级修复,以确保安全
OpenSSH的CVE-2024-6387漏洞修复
7*24小时的运维dog
07-04 289
OpenSSH官方发布安全公告,披露在v8.5p1至9.8p1(不包括)的sshd存在一处因信号处理程序竞争问题导致的远程代码执行漏洞CVE-2024-6387), 未经身份验证的攻击者利用漏洞可以在受害者 Linux 系统上以 root 身份执行任意代码。目前漏洞细节和PoC已公开,风险高。查看openssh本。
OpenEuler 22.03 LTS SP3 CVE-2024-6387 OpenSSH 漏洞修复指南
飞翔沫沫情博客
07-03 1192
OpenSSH是SSH(Secure Shell)协议的开源实现,它支持在两个主机之间提供安全的加密通信,广泛用于Linux等系统,通常用于安全远程登录、远程文件传输和其它网络服务。2024年7月1日,OpenSSH Server中存在的一个远程代码执行漏洞CVE-2024-6387,又被称为regreSSHion)细节被公开,该漏洞影响基于glibc的Linux系统上的OpenSSH Server (sshd)。
CVE-2019-0708 3389漏洞复现
EasonCc的博客
09-27 2292
Cve-2019-0708漏洞复现0x010x020x030x04蓝屏0x05(1)0x06(1)shell远控0x05(2)0x06(2) 利用3389端口进行远控以及使机器蓝屏 准备环境: vm15虚拟机装有win7 sp1; kali linux 2021 0x01 win7开启远程控制,开启远程连接端口3389: 0x02 转移到kali Linux,进入msf界面: 0x03 直奔出题搜索cve-2019-0708 0x04 如图划线证明即为存在cve-2019-0708 3389远程漏洞
CVE-2024-23897 JenKins任意文件读取漏洞复现
m0_61369360的博客
04-07 381
运行一个Bitnami提供的Jenkins镜像,设置参数和端口映射,并启动镜像。
openssh9.8p1更新 修复漏洞CVE-2024-6387)
qianyidui的博客
07-09 433
2024 年 7 月,互联网公开披露了一个 OpenSSH 的远程代码执行漏洞CVE-2024-6387)。鉴于该漏洞虽然利用较为困难但危害较大,建议所有使用受影响的企业尽快修复漏洞。开启 root 远程登录。centos7 为例。
CVE-2022-22947:Spring Cloud Gateway 远程代码执行漏洞复现修复建议
热门推荐
一只爱吃橙子的羊
03-12 2万+
CVE-2022-22947:Spring Cloud Gateway 远程代码执行漏洞复现修复建议
CVE-2020-14645漏洞本地复现
weixin_42075643的博客
03-08 1604
CVE-2020-14645是一个weblogic远程代码执行漏洞。 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic是美商Oracle的主要产品之一,是并购BEA得来。是商业市场上主要的Ja
微软最新 WiFi 远程代码执行漏洞CVE-2024-30078)探究
阿里技术
07-17 953
从函数的名称 Dt11Translate80211ToEthernetNdisPacket 可以推测,这个函数用于处理 802.11 数据包。802.11 是一种无线局域网的标准,而 WiFi 是 802.11 标准的一种产品实现。用 IDA 反编译函数,发现补丁是增加了一处对数值的比较,如果不满足条件则返回 NDIS_STATUS_INVALID_PACKET(0xc001000),即数据包非法。调用层次图表明,函数会在接收到 802.11 数据包时被调用。
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
tomcat 升级到8.5.99后,系统启动不起来问题(修复 CVE-2024-24549 拒绝访问漏洞
04-16
描述中提到的“在8.5.98基础上,增加了修复CVE-2024-24549拒绝访问漏洞的代码”,这表明Tomcat 8.5.99主要的更新内容是针对一个名为CVE-2024-24549的安全漏洞进行修复CVE(Common Vulnerabilities and Exposures)...
深入探讨安全验证:OAuth2.0、Cookie与Session、JWT令牌、SSO与开放授权平台设计
努力的小雨,一个阳光向上的博客不仅仅给你知识更希望带给你快乐
08-09 934
CSRF(Cross-Site Request Forgery)攻击是一种利用受害者在已经认证的状态下执行非意愿操作的攻击方式。攻击者通过诱使受害者访问恶意网站或点击恶意链接,来执行未经授权的操作,例如修改密码、进行转账等,简单来说就是,由于cookie是在浏览器共享的,所以一旦设置了cookie,那么当你打开另一个tab页的时候,也会携带过去,那么其他站点就可以使用cookie进行攻击,具体如下:比如:当你在浏览器中打开银行A的网页并成功登录后,你想要进行转账操作。
DLMS/COSEM中的信息安全安全密钥(中)
huaqianzkh的专栏
08-09 634
PKI是安全基础设施它创造和管理公钥证书以便于使用公钥(即非对称密钥)加密。为了实现这一目标,PKI需要执行两个基本任务:a)验证绑定的准确性后,生成和分发公钥证书将公钥绑定到其他信息;b)维护和分发未到期证书的证书状态信息。对于DLMS/COSEM,可以预料分层PKI包括如图23所示的以下组件。——根证书机构(Root-CA);——证书机构/下属机构(Sub-CA);——终端实体:不颁发证书的实体:DLMS/COSEM客户机,DLMS/COSEM服务器和第三方。
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1463
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
CC攻击解决方案,如何处理CC攻击
dexunyun的博客
08-09 775
CC攻击作为网络世界中的一大威胁,对网站的安全与稳定构成了严峻挑战。然而,通过部署安全加速SCDN,我们可以有效应对CC攻击,确保网站的安全与稳定。作为网络管理员和网站拥有者,我们应时刻保持警惕,不断提升自身的安全防护能力,为用户提供更加安全、可靠的网络服务。
CVE-2024-38077漏洞win2012R2修复
最新发布
08-11
CVE-2024-38077是一个针对Windows Server 2012 R2的安全漏洞,它涉及到远程过程调用(RPC)服务的弱点,可能导致攻击者通过恶意利用此漏洞来进行远程代码执行。这个漏洞通常会影响Microsoft的RPC服务,如果服务器未及时更新并打上相应的安全补丁,就可能让未经授权的用户得以利用。 微软已经发布了安全更新(Security Update)MS19-1156来修补这一漏洞。对于Windows Server 2012 R2系统用户来说,建议尽快应用这个补丁以防止潜在攻击。更新可以通过Windows Update管理工具、KB文章或Windows Server Update Services (WSUS)等渠道获取。同时,定期检查系统安全补丁也是保持系统安全的重要措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值