漏洞背景

影響: 遠程代碼執(zhí)行（RCE）

嚴重性: 嚴重

弱點: CWE-122（基于堆的緩沖區(qū)溢出）

CVSS評分: 9.8 / 8.5

今年早些時候，研究人員對 Windows 遠程桌面服務進行了深入分析，發(fā)現(xiàn)了多個漏洞，所有相關(guān)漏洞（56個）報告給了微軟。其中包括遠程桌面授權(quán)服務中的多個 Preauth RCE 漏洞（未經(jīng)身份驗證的非沙盒 0-click RCE）。

這些是針對Windows遠程桌面許可服務中預授權(quán)部分的遠程代碼執(zhí)行漏洞利用，我們把這個漏洞稱為“狂暴許可”(CVE-2024-38077)，是多年來在 Windows 中未見過的 0-click preauth RCE。研究人員將其命名為 MadLicense【狂躁許可】，選擇Windows Server 2025版本進行演示，該漏洞適用于 Windows Server 2000到2025（所有 Windows Server ）。

影響范圍

開啟 Windows Remote Desktop Licensing (RDL) Sevice 的Windows Server。

Windows Server 2000 到 2025 全部受影響。

相關(guān)漏洞

2024年7月，研究人員報告以下7個與RDP相關(guān)的漏洞均已被微軟修復：

CVE-2024-38077：Windows 遠程桌面授權(quán)服務遠程代碼執(zhí)行漏洞

CVE-2024-38076：Windows 遠程桌面授權(quán)服務遠程代碼執(zhí)行漏洞

CVE-2024-38074：Windows 遠程桌面授權(quán)服務遠程代碼執(zhí)行漏洞

CVE-2024-38073：Windows 遠程桌面許可服務拒絕服務漏洞

CVE-2024-38072：Windows 遠程桌面授權(quán)服務拒絕服務漏洞

CVE-2024-38071：Windows 遠程桌面許可服務拒絕服務漏洞

CVE-2024-38015：Windows 遠程桌面網(wǎng)關(guān)（RD 網(wǎng)關(guān)）拒絕服務漏洞

其中，Windows 遠程桌面授權(quán)服務中的 3 個 CVSS 評分為 9.8 的 RCE 漏洞值得關(guān)注。

漏洞詳情介紹

遠程桌面許可 (RDL) 服務

遠程桌面許可服務是 Windows Server 的一個組件，用于管理和頒發(fā)遠程桌面服務的許可證，確保對遠程應用程序和桌面的安全且合規(guī)的訪問。

RDL 服務廣泛部署在啟用了遠程桌面服務的機器上。默認情況下，遠程桌面服務僅允許同時使用兩個會話。要啟用多個同時會話，需要購買許可證。RDL 服務負責管理這些許可證。RDL 被廣泛安裝的另一個原因是，在Windows 服務器上安裝遠程桌面服務 (3389) 時，管理員通常會勾選安裝 RDL 的選項。這導致許多啟用了 3389 的服務器也啟用了 RDL 服務。此外，RDL服務通常部署在關(guān)鍵業(yè)務系統(tǒng)和遠程桌面集群中。

CVE-2024-38077: 簡單的堆溢出漏洞

此漏洞屬于基于堆的緩沖區(qū)溢出（CWE-122），利用它可能導致攻擊者在未認證的情況下獲得遠程代碼執(zhí)行的能力。

終端服務器授權(quán)程序旨在管理將任何用戶或設(shè)備連接到服務器所需的終端服務 CAL。

在CDataCoding::DecodeData過程中，會分配一個固定大小的緩沖區(qū)（21 字節(jié)），然后使用該緩沖區(qū)計算并填充用戶控制的長度緩沖區(qū)，從而導致堆溢出。

漏洞作者在博客（目前已經(jīng)404）里進行了有限披露：https://sites.google.com/site/zhiniangpeng/blogs/MadLicense，為了進一步防止這個 POC 被濫用，博客里發(fā)布的 POC 只是偽代碼和未優(yōu)化的版本，關(guān)鍵部分是隱藏的，并且提供了windbg堆棧信息，偽代碼以及部分已經(jīng)去除關(guān)鍵代碼的POC。

Windows Server 2025 標準版本 24H2（26236.5000.amd64fre.ge_prerelease.240607-1502lserver.dll(10.0.26235.5000)

原偽代碼POC：

https://github.com/CloudCrowSec001/CVE-2024-38077-POC/blob/main/CVE-2024-38077-poc.py

該漏洞利用的 POC 在 Windows Server 2025 上的成功率超過 95%?？紤]到服務崩潰后會重新啟動，不需要兩次泄露模塊基址，最終的成功率可以更高，接近 100%。

此 POC 將在 Windows Server 2025 上在 2 分鐘內(nèi)完成。對于 Windows Server 2000 到 Windows Server 2022，利用此漏洞會更快，因為緩解措施較少。為簡單起見，POC 將加載遠程 DLL?？梢宰屗?RDL 進程中運行任意 shellcode。這將使其更加隱蔽。

演示視頻鏈接：

https://www.youtube.com/watch?v=OSYOrRS2k4A&t=8s

網(wǎng)傳優(yōu)化后的POC（基于偽代碼）

GitHub - qi4L/CVE-2024-38077: RDL的堆溢出導致的RCE

自查漏洞

查看Windows Server 系統(tǒng)版本，WIN+R調(diào)出運行窗口，輸入winver可查看系統(tǒng)版本，如果版本高于受影響的版本，則不受此漏洞影響。

官方補丁

微軟官方已發(fā)布針對該漏洞的修復方案，受影響用戶請通過官方鏈接下載并更新補丁。鏈接如下：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

相關(guān)知識

研究人員披露GE HealthCare超聲波醫(yī)療設(shè)備漏洞，能被用于部署惡意程序
研究人員揭露GE HealthCare超音波醫(yī)療設(shè)備漏洞，並指出能被用於部署惡意程式、搜刮病人檢查結(jié)果
云安全日報201026：Linux內(nèi)核發(fā)現(xiàn)數(shù)據(jù)泄露和特權(quán)升級漏洞，需要盡快升級
spring boot 健康檢查漏洞
360資產(chǎn)脆弱性掃描平臺
私購濫用“減肥藥”，安全漏洞誰來堵
揭秘Docker無bash反彈：安全漏洞還是高級技巧？揭秘企業(yè)級應用中的風險與應對策略
全面揭秘疫情下醫(yī)療網(wǎng)絡(luò)安全風險！超 80% 健康 App 有高危漏洞，暴力攻擊單日 80 萬次
什么是零日漏洞？如何防范它帶來的危害？一文揭秘
中國網(wǎng)絡(luò)空間安全協(xié)會發(fā)文呼吁安全審查英特爾產(chǎn)品：漏洞頻發(fā)、故障率高

網(wǎng)址: Windows核彈漏洞披露！CVE http://m.u1s5d6.cn/newsview1816804.html