大工网安告[2024]016

一、 情况分析

Windows Server是由微软开发的操作系统系列，专为服务器环境设计，用于管理网络、数据存储和应用程序的运行。它为企业和组织提供了稳定、可靠的服务器平台，支持各种规模的网络基础设施。

监测到官方修复Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)，该漏洞存在于Windows远程桌面许可管理服务（RDL）中，攻击者无需任何权限即可实现远程代码执行，获取服务器最高权限。由于在解码用户输入的许可密钥包时，未正确检验解码后数据长度与缓冲区大小之间的关系，导致缓冲区溢出。该漏洞影响Windows Server 2000到Windows Server 2025所有版本，RDL 服务不是默认安装，但很多管理员会手工开启。鉴于该漏洞影响范围较大，建议大家尽快做好自查及防护。

漏洞公开时间：2024年07月09日

威胁类型：代码执行。

技术类型：堆缓冲区溢出。

利用条件：无。

危害描述：未经身份认证的远程攻击者可实现远程代码执行，导致开启了远程桌面许可服务的Windows服务器完全沦陷。

二、 影响版本

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

三、 处置建议

可以采用以下官方解决方案及缓解方案来防护此漏洞：

Windows 自动更新

Windows 系统默认启用Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows 快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows 更新”（Windows Server 2012 以及Windows Server 2012 R2 可通过控制面板进入“Windows 更新”，步骤为“控制面板”-> “系统和安全”->“Windows 更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新。

系统重新启动后，可通过进入“Windows 更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU 名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

另外，对于不能自动更新的系统版本，可参考以下链接下载适用于该系统的补丁并安装：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077