该漏洞存在于Windows的远程桌面授权服务 (RDL,负责管理远程桌面服务的许可证)中,而RDL广泛部署于众多组织之中——研究人员确认至少有 170000 个 RDL 服务直接暴露在互联网上,使其很容易受到利用。此外,RDL 服务通常集成在关键业务系统之中,从而进一步放大了该漏洞的潜在影响。
据了解,MadLicense 漏洞源于CDataCoding::DecodeData函数中的堆溢出——此函数在处理用户输入的许可秘钥包时,未正确地检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区溢出。未经身份验证的攻击者可连接到远程桌面许可服务并发送恶意消息,从而允许远程执行代码。
研究人员成功演示了在Windows Server 2025上的概念验证(提供的 PoC 是伪代码,并且故意进行混淆以防止滥用),成功率接近 100%。该漏洞有效规避了所有当前的缓解措施,包括最近在 Windows Server 2025 中引入的 LFH 缓解措施。
虽然PoC只演示了该漏洞在 Windows Server 2025 上的利用情况,但研究人员强调,由于旧版本的缓解措施较少,该漏洞可以在旧版本的 Windows Server 上更快、更有效地被利用。 研究人员还指出,该PoC旨在加载远程DLL,但只需稍加修改,就可以在RDL进程中执行任意shellcode,从而使攻击更加隐蔽。
另外,有研究人员报告在 Github 上发现了CVE-2024-38077的PoC代码。虽然该代码的真实性尚未得到证实,但此发现进一步突显了修补的迫切性。该漏洞在公开披露前一个月已向微软报告,并且已在微软7 月安全补丁中得到修复。强烈建议各机构立即更新其 Windows Server 系统,以防范潜在的攻击。
资讯来源:microsoft、cybersecuritynews
转载请注明出处和本文链接
球分享
球点赞
球在看