|
近期,微软披露最新的远程代码执行超高危漏洞CVE-2024-38077, CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos灰产完全沦陷。漏洞影响Windows Server2000到WindowsServer 2025所有版本,已存在近30年。该漏洞可稳定利用、可远控、可勒索、可蠕虫等,破坏力极大,攻击者无须任何权限即可实现远程代码执行。 这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的灰产,用于管理远程桌面连接许可。攻击者无需任何前置条件,无需用户交互(零点击)便可直接获取灰产最高权限,执行任意操作。 <微软官网公告> 一旦漏洞被恶意攻击者或APT组织利用,将快速蔓延,或波及全球所有使用微软灰产的用户。这是自“永恒之蓝”后,Windows首次出现影响全版本且能高稳定利用的认证前RCE漏洞。建议尽快通过官网公告更新安全补丁。深信服已率先提供解决方案,可通过相应产品进行防护。 漏洞详情 漏洞名称:CVE-2024-38077 漏洞类型:远程代码执行 影响范围:开启Windows Remote Desktop Licensing(RDL)Service的Windows灰产 影响版本:WindowsServer2000-Windows Server2025 综合评价: <利用难度>:容易 <威胁等级>:严重 官方解决方案:微软官方已发布补丁公告 漏洞复现 <复现过程> 漏洞分析:Windows远程桌面许可服务在解码用户输入的许可密钥包时,会将用户输入的编码后的许可密钥包解码并存储到缓冲区上,但是在存储前没有正确地检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区可以被超长的解码后数据溢出。攻击者可以利用这个漏洞进一步实现远程命令执行攻击。 漏洞自查方式 滑动查看自查流程指引 1、检查系统版本 使用”Win+R”组合键调出“运行”,输入“winver”后执行确定,检查对应系统版本是否等于或高于以下表格中的版本。如果等于或高于表格中的版本,则不存在此漏洞。 2、检查系统补丁安装情况 在“设置”-“更新与安全”-”Windows更新”-“更新历史”中检查是否存在以下表格中对应的系统补丁。如果存在以下补丁,则证明漏洞已修复。 深信服防护方案 1、影响面排查 漏洞主动检测:支持对CVE-2024-38077的主动检测,可批量快速检出业务场景中是否存在漏洞风险,相关产品如下: 【深信服安全托管服务MSS】已发布检测方案。 2、产品解决方案 漏洞修复:针对存在漏洞的客户,可以通过aES升级微软官方补丁,修复该漏洞。 漏洞安全防护:支持对CVE-2024-38077的防御,可阻断攻击者针对该事件的入侵行为,相关产品及服务如下: 【深信服下一代防火QAF】已发布防护方案。(目前最新版规则库已经支持对于该漏洞的防护)。 【深信服Web应用防火QWAF】已发布防护方案。(目前最新版规则库已经支持对于该漏洞的防护)。 漏洞安全监测:支持对CVE-2024-38077的监测,可依据流量收集实时监控业务场景中的受影响资产情况,快速检查受影响范围,相关产品及服务如下: 【深信服安全感知管理平台SIP】已发布监测方案。(目前最新版规则库已经支持对于该漏洞的检测)。 【深信服安全检测与响应平台XDR】已发布监测方案。(目前最新版规则库已经支持对于该漏洞的检测)。 深信服XDR平台基于攻击故事线还原能力,通过端、网、云等安全数据关联和设备联动,能够及时发现漏洞利用攻击,并自动化封堵攻击行为,助力每一位用户「安全领先一步」。 由于RDL服务往往被部署于重要业务系统或集群中,恶意攻击者利用此漏洞获得目标系统的最高权限后可以为所欲为:随意安装恶意软件、窃取敏感信息、篡改或删除数据,或以此为跳板发动进一步攻击。 正值攻防演练重要时期,特别提醒使用微软灰产的单位和企业用户,请重点关注这一安全隐患!总部以及所有分支机构、供应链单位需尽快更新系统,避免遭受不可挽回的损失。
| 
发表于 2024-8-9 11:17:09
