尊敬的用戶，您好！

互聯(lián)網(wǎng)安全中心監(jiān)測到， Windows Remote Desktop Licensing Service 遠程代碼執(zhí)行漏洞（CVE-2024-38077）近期被傳播利用，該漏洞最早發(fā)布于微軟發(fā)布的2024年7月例行安全更新中，近期監(jiān)測到相關(guān)漏洞細(xì)節(jié)和POC被公開。

為避免您的業(yè)務(wù)受影響，棉花云安全建議您及時開展安全自查，如在受影響范圍，請您及時進行更新修復(fù)，避免被外部攻擊者入侵。

漏洞詳情

這一漏洞存在于Windows遠程桌面許可管理服務(wù)（RDL）中，Windows Remote Desktop Licensing Service（Windows 遠程桌面授權(quán)服務(wù)）是 Windows 操作系統(tǒng)中的一個服務(wù)，用于管理和分配遠程桌面許可證，允許用戶通過遠程桌面協(xié)議訪問遠程計算機，該服務(wù)主要負(fù)責(zé)驗證和授權(quán)用戶訪問遠程桌面功能。

據(jù)描述，由于Windows 遠程桌面授權(quán)服務(wù)在解碼數(shù)據(jù)的函數(shù)中缺乏長度校驗，導(dǎo)致堆溢出漏洞。未經(jīng)身份驗證的遠程攻擊者可通過向設(shè)置了遠程桌面授權(quán)服務(wù)的服務(wù)器發(fā)送特制的數(shù)據(jù)包進行利用，無需用戶交互，即可成功利用該漏洞可能導(dǎo)致遠程任意代碼的執(zhí)行控制服務(wù)器。

漏洞的利用需要開啟 Remote Desktop Licensing 服務(wù)（該服務(wù)默認(rèn)并未安裝，需要人工開啟，但有可能在開啟遠程桌面服務(wù)時錯誤開啟）。

風(fēng)險等級

高風(fēng)險

漏洞風(fēng)險

未經(jīng)身份驗證的遠程攻擊者利用該漏洞可執(zhí)行任意代碼

影響版本

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

安全版本

Windows Server 2012 R2 (Server Core installation) [== KB5040456];

Windows Server 2012 R2 [== KB5040456];

Windows Server 2012 (Server Core installation) [== KB5040485];

Windows Server 2012 [== KB5040485];

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) [== KB5040497];

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) [== KB5040498];

Windows Server 2008 R2 for x64-based Systems Service Pack 1 [== KB5040497];

Windows Server 2008 R2 for x64-based Systems Service Pack 1 [== KB5040498];

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) [== KB5040499];

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) [== KB5040490];

Windows Server 2008 for x64-based Systems Service Pack 2 [== KB5040499];

Windows Server 2008 for x64-based Systems Service Pack 2 [== KB5040490];

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) [== KB5040499];

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) [== KB5040490];

Windows Server 2008 for 32-bit Systems Service Pack 2 [== KB5040499];

Windows Server 2008 for 32-bit Systems Service Pack 2 [== KB5040490];

Windows Server 2016 (Server Core installation) [== KB5040434];

Windows Server 2016 [== KB5040434];

Windows Server 2022, 23H2 Edition (Server Core installation) [== KB5040438];

Windows Server 2022 (Server Core installation) [== KB5040437];

Windows Server 2022 [== KB5040437];

Windows Server 2019 (Server Core installation) [== KB5040430];

Windows Server 2019 [== KB5040430];

修復(fù)建議

1. 官方已發(fā)布漏洞補丁及修復(fù)版本，請評估業(yè)務(wù)是否受影響后，升級至安全版本

2. 緩解措施：

如非業(yè)務(wù)需要，請禁用 Windows 遠程桌面授權(quán)服務(wù)。

檢查是否以如下方式進行了 RDL 服務(wù)的安裝和激活，如果錯誤開啟，請卸載相關(guān)服務(wù)：

https://learn.microsoft.com/zh-cn/windows-server/remote/remote-desktop-services/rds-activate-license-server 

自查方法：

驗證 Remote Desktop Licensing 服務(wù)是否啟動

方法步驟：

1、cmd命令行輸入services.msc，打開服務(wù)控制臺

2、查找是否存在 Remote Desktop Licensing 服務(wù)并處于啟用狀態(tài)

3、若無該服務(wù)，則說明默認(rèn)未安裝受影響的服務(wù)，不受影響，如存在該服務(wù)，則需要進一步判斷是否安裝最新2024年7月補丁。

補丁對應(yīng)的操作系統(tǒng)版本信息可以通過如下方式進行快速確認(rèn)：

1. 檢查系統(tǒng)版本

? 步驟 1: 按住“Win+R”組合鍵調(diào)出“運行”窗口。

? 步驟 2: 在運行框中輸入“winver”并點擊確定。

? 步驟 3: 系統(tǒng)將彈出一個窗口，顯示 Windows 版本信息。

2. 版本比對，如果等于或高于如下操作系統(tǒng)對應(yīng)的版本，則不存在此漏洞，否則存在漏洞

Windows Server 2012 R2 (Server Core installation) 對照版本：6.3.9600.22074

Windows Server 2012 R2 6.3.9600.22074 對照版本：

Windows Server 2012(Server Core installation) 對照版本：6.2.9200.24975

Windows Server 2012 6.2.9200.24975 對照版本：

Windows Server 2008 R2 for x64 based Systems Service Pack(Server Core installation) 對照版本： 6.1.7601.27219

Windows Server 2008 R2 for x64 based Systems Service Pack 1 對照版本：6.1.7601.27219

Windows Server 2008 for x64 based Systems Service Pack 2(Server Core installation) 對照版本：6.0.6003.22769

Windows Server 2008 for x64 based Systems Service Pack 2 對照版本：6.0.6003.22769

Windows Server 2008 for 32 bit Systems Service Pack 2(Server Core installation) 對照版本：6.0.6003.22769

Windows Server 2008 for 32 bit Systems Service Pack 2 對照版本：6.0.6003.22769

Windows Server 2016(Server Core installation) 對照版本：10.0.14393.7159

Windows Server 2016 10.0.14393.7159

Windows Server 2022, 23H2 Edition(Server Core installation) 對照版本：10.0.25398.1009

Windows Server 2022(Server Core installation) 對照版本：10.0.20348.2582

Windows Server 2022 對照版本：10.0.20348.2582

Windows Server 2019(Server Core installation) 對照版本：10.0.17763.6054

Windows Server 2019 對照版本：10.0.17763.6054

【備注】：建議您在升級前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外

【備注】：目前僅影響服務(wù)器版本，個人電腦win暫未發(fā)現(xiàn)風(fēng)險

漏洞參考

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul 

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38077 

棉花云運營服務(wù)中心