漏洞名称:
Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)
发布时间:
2024年7月9日
组件名称:
Windows Server
影响范围:
2000 ≤ Windows Server ≤ 2025
漏洞类型:
远程代码执行
利用条件:
1、用户认证:不需要认证
2、前置条件:开启 Windows Remote Desktop Licensing(RDL)Sevice
3、触发方式:远程
4、漏洞利用:利用技术复杂
CVSS评分:9.8
官方解决方案:
微软已发布官方补丁包
漏洞分析
组件介绍
Windows Server 是由微软开发的操作系统系列,专为服务器环境设计,用于管理网络、数据存储和应用程序的运行。它为企业和组织提供了稳定、可靠的服务器平台,支持各种规模的网络基础设施。
漏洞简介
2024年7月9日,深信服深瞳漏洞实验室监测到一则Windows Server组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2024-38077,CVSS评分9.8,漏洞利用技术复杂。
这个漏洞存在于Windows远程桌面许可管理服务(RDL),RDL服务用于管理远程桌面License。利用此漏洞,攻击者能够在无需任何前置条件或用户交互的情况下,获得服务器的权限,并执行任意操作。但是RDL服务默认情况下不开启,仅在需要RDP多会话接入时才需要开启RDL服务。
影响范围
开启 Windows Remote Desktop Licensing(RDL)Sevice 的Windows服务器。
Windows Server 2000 到2025受影响。
解决方案
检测方式
滑动查看自查流程指引
1、检查组件系统版本
使用”Win+R”组合键调出“运行”,输入“winver”后执行确定,检查对应系统版本是否等于或高于以下表格中的版本。如果等于或高于表格中的版本,则不存在此漏洞。
2、检查系统补丁安装情况
在“设置”-“更新与安全”-”Windows更新”-“更新历史”中检查是否存在以下表格中对应的系统补丁。如果存在以下补丁,则证明漏洞已修复。
官方修复建议
微软官方已发布针对该漏洞的修复方案,受影响用户请通过官方链接下载并更新补丁。
链接如下:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
深信服解决方案
1、影响面排查
支持对Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)的检测,可批量快速检出业务场景中是否存在漏洞风险,相关产品如下:
【深信服安全托管服务MSS】已发布检测方案。
也可通过【深信服技术支持】官方网站获取排查工具。
链接如下:https://support.sangfor.com.cn/productTool/read?product_id=201&id=84&category_id=50
2、漏洞修复
针对存在漏洞的客户,可以通过aES升级微软官方补丁,修复该漏洞。
【深信服终端安全管理系统aES】支持部分版本操作系统的补丁检测与修复。aES漏洞规则库最新更新时间需要保持在2024-07-31之后。
3、漏洞安全防护:
支持对Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)的防御,可阻断攻击者针对该事件的入侵行为,相关产品及服务如下:
【深信服下一代防火墙AF】已发布防护方案,规则编号10011226,AF版本需要升级到8018及以上(不含8019)。
4、漏洞安全监测:
支持对Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)的监测,可依据流量收集实时监控业务场景中的受影响资产情况,快速检查受影响范围,相关产品及服务如下:
【深信服安全感知管理平台SIP】已发布防护方案,规则编号10011226。
【深信服安全检测与响应平台XDR】已发布防护方案,规则编号10011226。
深信服XDR平台基于攻击故事线还原能力,通过端、网、云等安全数据关联和设备联动,能够及时发现漏洞利用攻击,并自动化封堵攻击行为,助力每一位用户「安全领先一步」。
时间轴
2024/7/9
深信服深瞳漏洞实验室监测到微软官方发布安全补丁。
2024/8/9
深信服深瞳漏洞实验室发布漏洞解决方案。
参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
请注意:目前已经发现有利用WindowsCVE-2024-38077漏洞排查工具为关键词的钓鱼文件,请大家勿轻信外界的工具以防被钓鱼。如需修复漏洞,下载微软官方补丁,如需排查工具,认准深信服官方人员,或者通过深信服技术支持官方网站获取。