主要观点总结
这篇文章主要介绍了Windows远程桌面授权服务中的一个远程代码执行漏洞(CVE-2024-38077),该漏洞影响所有启用RDL服务的Windows Server服务器。奇安信CERT发布了安全风险通告并提供了相关的检测工具和处置建议。
关键观点总结
关键观点1: 漏洞名称及编号
Windows远程桌面授权服务远程代码执行漏洞,漏洞编号为QVD-2024-25692和CVE-2024-38077。
关键观点2: 影响对象
影响对象数量级为十万级,主要针对开启了Windows远程桌面服务(3389端口)的服务器。
关键观点3: 漏洞描述
成功利用该漏洞的攻击者可以实现远程代码执行,获取目标系统的控制权,可能导致敏感数据的泄露以及可能的恶意软件传播。
关键观点4: 影响范围
影响所有启用RDL服务的Windows Server服务器,包括多个不同版本的Windows Server系统。
关键观点5: 复现情况
奇安信威胁情报中心安全研究员已经成功复现了这个漏洞,并且提供了相关的检测工具和方法。
关键观点6: 检测工具和方法
提供了针对Windows平台的检测工具和使用方法,以及Linux平台上的检测命令。检测原理是对目标windows服务器的135端口进行测绘获取banner信息,查询是否包含特定UUID来检测RDL服务的存在。
关键观点7: 处置建议
提供了多种处置建议,包括关闭远程桌面授权服务、通过安全组限制相关机器及端口访问、手动安装补丁、使用奇安信天擎终端安全管理系统解决方案等。
文章预览
● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Windows 远程桌面授权服务远程代码执行漏洞 漏洞编号 QVD-2024-25692,CVE-2024-38077 公开时间 2024-07-09 影响对象数量级 十万级 奇安信评级 高危 CVSS 3.1分数 8.1 威胁类型 代码执行 利用可能性 中 POC状态 已公开(伪代码) 在野利用状态 未知 EXP状态 未公开 技术细节状态 已公开 危害描述: 成功利用该漏洞的攻击者可以实现远程代码执行,获取目标系统的控制权,可能导致敏感数据的泄露、以及可能的恶意软件传播。 0 1 漏洞详情 > > > > 影响组件 Windows 远程桌面授权服务(RDL)是一个用于管理远程桌面服务许可证的组件,确保对远程桌面连接的合法性。 该服务被广泛部署于开启了Windows远程桌面服务(3389端口)的服务器上,但漏洞的利用不是通过3389端口,需要先连接135端口发送访问请求,
………………………………
