存在近30年的零点击RCE漏洞,所有Windows服务器都可能受害
2024-8-9 18:1:19 Author: mp.weixin.qq.com(查看原文) 阅读量:25 收藏

近日,安全研究员Ver、Lewis Lee和zhiniang Peng发布了一个高危漏洞的概念验证 (https://sites.google.com/site/zhiniangpeng/blogs/MadLicense) ,该漏洞名为“MadLicense”(CVE-2024-38077,CVSS 9.8),影响Windows Server 2000到Windows Server 2025的所有版本。此预身份验证远程代码执行 (RCE) 漏洞使攻击者能够完全控制目标服务器,并且无需任何形式的用户交互。

该漏洞存在于Windows的远程桌面授权服务 (RDL,负责管理远程桌面服务的许可证)中,而RDL广泛部署于众多组织之中——研究人员确认至少有 170000 个 RDL 服务直接暴露在互联网上,使其很容易受到利用。此外,RDL 服务通常集成在关键业务系统之中,从而进一步放大了该漏洞的潜在影响。

据了解,MadLicense 漏洞源于CDataCoding::DecodeData函数中的堆溢出——此函数在处理用户输入的许可秘钥包时,未正确地检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区溢出。未经身份验证的攻击者可连接到远程桌面许可服务并发送恶意消息,从而允许远程执行代码。

研究人员成功演示了在Windows Server 2025上的概念验证(提供的 PoC 是伪代码,并且故意进行混淆以防止滥用),成功率接近 100%。该漏洞有效规避了所有当前的缓解措施,包括最近在 Windows Server 2025 中引入的 LFH 缓解措施。

虽然PoC只演示了该漏洞在 Windows Server 2025 上的利用情况,但研究人员强调,由于旧版本的缓解措施较少,该漏洞可以在旧版本的 Windows Server 上更快、更有效地被利用。 研究人员还指出,该PoC旨在加载远程DLL,但只需稍加修改,就可以在RDL进程中执行任意shellcode,从而使攻击更加隐蔽。

另外,有研究人员报告在 Github 上发现了CVE-2024-38077的PoC代码。虽然该代码的真实性尚未得到证实,但此发现进一步突显了修补的迫切性。该漏洞在公开披露前一个月已向微软报告,并且已在微软7 月安全补丁中得到修复。强烈建议各机构立即更新其 Windows Server 系统,以防范潜在的攻击。

编辑:左右里

资讯来源:microsoft、cybersecuritynews

转载请注明出处和本文链接



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458567380&idx=2&sn=8c1990606b262264742a8e0832a17687&chksm=b18df25e86fa7b482060da266eb4a37e17a000da5c410be329e842323e01f30d43beacc9e9ed&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh