【风险提示】天融信关于Windows 远程桌面许可服务远程代码执行漏洞(CVE-2024-38077)的风险提示

主要观点总结

本文介绍了名为“狂躁许可（MadLicense）”的远程桌面许可服务远程代码执行漏洞（CVE-2024-38077）的相关细节。该漏洞影响Windows Server的所有版本，从2000到2025，已存在近30年。该漏洞允许远程攻击者进行远控、勒索、蠕虫等攻击，且无需任何权限即可实现远程代码执行。微软已在2024年7月的更新中发布补丁，并提供了修复建议。

关键观点总结

关键观点1: 漏洞背景

天融信阿尔法实验室监测到“狂躁许可”远程桌面许可服务远程代码执行漏洞的部分细节及PoC伪代码公开。

关键观点2: 漏洞详情

该漏洞是Windows Server的远程桌面许可服务（RDL）中的一个堆溢出漏洞（CWE-122）。攻击者可利用此漏洞在目标服务器上执行任意代码。

关键观点3: 影响范围

该漏洞影响所有版本的Windows Server，从Windows Server 2000到Windows Server 2025。

关键观点4: 修复建议

微软已发布补丁，用户可通过Windows自动更新或手动安装补丁来修复此漏洞。对于不能自动更新的系统版本，用户可下载适用于该系统的7月补丁进行安装。

关键观点5: 关于天融信阿尔法实验室

阿尔法实验室从事攻防技术研究，提供安全领域前瞻性技术支撑，并为此次公告拥有修改和解释权。

文章预览

0x00 背景介绍 8月9日，天融信阿尔法实验室监测到被命名为“狂躁许可（MadLicense）”的远程桌面许可服务远程代码执行漏洞（CVE-2024-38077）的部分漏洞细节及PoC伪代码在互联网上公开，微软已在2024年7月月度更新中发布此漏洞的补丁。 此漏洞影响Windows Server 2000到Windows Server 2025所有版本，已存在近30年。远程攻击者可以通过网络稳定利用此漏洞进行远控、勒索、蠕虫等攻击，且利用此漏洞无需任何权限即可实现远程代码执行。 0x01 漏洞描述 远程桌面许可服务（Remote Desktop Licensing，RDL）是Windows Server的一个组件，用于管理和颁发远程桌面服务的许可证，确保对远程应用程序和桌面进行安全且合规的访问。该服务被广泛部署于开启了Windows远程桌面服务（3389端口）的服务器上。RDL服务不是默认安装，但很多管理员会手动开启。 此漏洞是Windows Server RDL服务 ………………………………