CVE-2024-38077:Windows远程桌面授权服务的‘隐形杀手’——深度剖析与紧急防护策略

news2024/11/16 3:30:47

文章目录

    • CVE-2024-38077:Windows远程桌面授权服务的‘隐形杀手’——深度剖析与紧急防护策略
      • 1 漏洞描述
      • 2 漏洞影响
        • 2.1 处置优先级:高
        • 2.2 影响版本
      • 3 漏洞检测
        • 3.1 漏洞检测工具
        • 3.2 漏洞检测工具使用介绍
          • 3.2.1 漏洞检测工具当前支持三种方式检测
          • 3.2.2 漏洞检测工具返回信息分析
        • 3.3 漏洞检测工具获取
      • 4 漏洞解决方案
        • 4.1 临时缓解方案
        • 4.2 升级修复方案
      • 5 参考资料

CVE-2024-38077:Windows远程桌面授权服务的‘隐形杀手’——深度剖析与紧急防护策略

今日大部分厂商报告了CVE-2024-38077这个RCE漏洞,是一个危险性较高的漏洞,其CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。漏洞影响Windows Server2000到WindowsServer 2025所有版本,已存在近30年。该漏洞可稳定利用、可远控、可勒索、可蠕虫等,破坏力极大,攻击者无须任何权限即可实现远程代码执行,更是被誉为这是自“永恒之蓝”后,Windows首次出现影响全版本且能高稳定利用的认证前RCE漏洞。

1 漏洞描述

CVE-2024-38077 是 Windows 远程桌面授权服务(RDL)中的一个堆溢出漏洞。该漏洞在解码用户输入的许可密钥包时,未正确验证解码后的数据长度与缓冲区大小之间的关系,从而导致缓冲区溢出。这使得攻击者可以通过发送特制的数据包,在目标服务器上执行任意代码。

需要注意的是,RDL 服务并非默认启用,但许多管理员会手动启用它以扩展功能,例如增加远程桌面会话的数量(默认情况下,Windows 服务器仅允许两个并发会话)。此外,在部分堡垒机和 VDI 场景中,RDL 服务的启用也是必要的。

2 漏洞影响

成功利用该漏洞的攻击者可以实现远程代码执行,控制受影响的服务器,潜在的危害包括数据泄露、系统崩溃,甚至可能被用于传播勒索等恶意软件。此漏洞影响到所有启用了 RDL 服务的 Windows Server服务器,特别是那些未及时更新补丁的系统。

2.1 处置优先级:高

**漏洞类型:**缓冲区溢出

漏洞危害等级:严重

**触发方式:**网络远程

**权限认证要求:**无需权限

**系统配置要求:**需要启用 RDL 服务(默认不开启)

**用户交互要求:**无需用户交互

**利用成熟度:**POC伪代码公开(不可直接使用)

**批量可利用性:**可使用通用 POC/EXP,批量检测/利用

**修复复杂度:**低,官方提供补丁修复方案

2.2 影响版本
该漏洞仅影响Windows Server版本:Windows Server 2000 至 Windows Server 2025 所有版本

3 漏洞检测

3.1 漏洞检测工具

【CVE-2024-38077】深信服批量检测工具。

3.2 漏洞检测工具使用介绍
3.2.1 漏洞检测工具当前支持三种方式检测
  1. 直接针对单ip进行检测:check_38077.exe 192.168.1.1;

  2. 针对ip段进行检测:check_38077.exe 192.168.1.0\24;

  3. ip 导入检测:check_38077.exe -f iplist.txt

3.2.2 漏洞检测工具返回信息分析

漏洞检测工具返回信息概要。

工具返回信息返回信息说明
Vulnerability Detected.检测到漏洞
Server Not installed.扫描的机器并未安装RDL服务
Can Not Reach Host.无法访问到服务器
Server Patched.服务器已经安装漏洞补丁
RPC Exception.RPC 异常
Error Code.其他错误代码
3.3 漏洞检测工具获取

**关注公众号:**超哥的IT私房菜,回复202438077。

4 漏洞解决方案

4.1 临时缓解方案
  1. 临时关闭远程桌面授权服务(RDL)。虽然关闭 RDL 不会影响远程桌面服务,但它会限制同时运行的会话数。
  2. 为防止被利用,建议尽量减少对外直接暴露端口,可利用安全组限制相关机器以及端口仅对可信地址开放。
4.2 升级修复方案
  1. 使用 Windows 自动更新功能,确保系统安装了 2024 年 7 月的最新安全补丁。

  2. 手动安装补丁:访问微软的安全更新页面[https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077],下载并安装针对 CVE-2024-38077 的补丁。

5 参考资料

微软的安全更新页面:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

原文链接:https://mp.weixin.qq.com/s?__biz=MzkxNzI1OTE3Mw==&mid=2247492448&idx=1&sn=ebe8594134e533002a13968b627f0fca&chksm=c141f5aaf6367cbce131ffbe1876d222306a62fcaba2c35909c14994217683b45a1e345c093f#rd

👍 点赞,你的认可是我创作的动力!

⭐️ 收藏,你的青睐是我努力的方向!

✏️ 评论,你的意见是我进步的财富!

图片

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2033855.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

常见的三个事务问题(脏读/幻读/不可重复读)

常见的三个事务问题(脏读/幻读/不可重复读) 脏读 脏读(Dirty Read)是指在一个事务中,读取了另一个未提交事务的数据。 具体来说,脏读的过程如下: 1. 事务A开始,对某一行数据进行…

C++学习笔记之数组

C学习笔记之数组 https://www.runoob.com/cplusplus/cpp-arrays.html C当中,数组是用于存储固定大小的相同类型元素的顺序集合 数组是整体作为一个变量,其中又包含多个单独变量,作为其元素,如数组变量a,其包含a[0]~a[…

html+css+js网页制作 淘宝首页1个页面带js

htmlcssjs网页制作 淘宝首页1个页面带js 网页作品代码简单,可使用任意HTML编辑软件(如:Dreamweaver、HBuilder、Vscode 、Sublime 、Webstorm、Text 、Notepad 等任意html编辑软件进行运行及修改编辑等操作)。 获取源码 1&…

【并查集、树的直径】P2195 HXY造公园 题解

题意 P2195 codeforces 455c,两道一样的题 给出一个由 n n n 个点, m m m 条边组成的森林,有 q q q 组询问,每次询问有以下两种情况 输入 o p 1 op 1 op1 时:给出点 x x x,输出点 x x x 所在的树的直径。 输…

千元不到,作为可穿戴AI设备,AI Friend真的能够取代手机吗?

在人工智能的浪潮中,我们见证了无数旨在提高效率和生产力的创新设备。 然而,Friend设备以其独特的设计理念,为AI设备带来了新的定义——一个永远在线的伴侣,一个情感的稳定器。 一、Friend的设计理念 Friend设备的设计初衷并非追…

vscode的C/C++环境配置和调试技巧

目录 1.背景 2.下载编译器 3.配置环境变量 4.安装C/C插件 5.写C语言代码并且编译成功 5.1文件操作 5.2对于两个窗口的解释 5.3C语言编译环境配置 6.创建执行文件 7.编译运行过程 8.写其他的代码的解决方案一 9.写其他的代码的解决方案二 10.同时编译多个.c文件 10…

Qt 中实现异步散列器

【写在前面】 在很多工作中,我们需要计算数据或者文件的散列值,例如登录或下载文件。 而在 Qt 中,负责这项工作的类为 QCryptographicHash。 关于 QCryptographicHash: QCryptographicHash 是 Qt 框架中提供的一个用于生成加密散列…

【系统维护】Dll文件修复工具使用教程,Windows系统必备!

一、dll文件是什么 dll文件是是一种Windows操作系统下的可执行文件格式,包含可由多个程序同时使用的代码和数据的文件,它的主要作用是实现代码和数据的共享,从而节省内存和硬盘空间,并提高程序的性能和可维护性 二、如何解决dll文…

刚刚,模糊测试平台SFuzz受到行业认可

近日,中国网络安全产业联盟(CCIA)正式发布了“2024年网络安全优秀创新成果大赛-安全严选专题赛”评选结果,开源网安模糊测试平台SFuzz凭借重大创新能力,得到组委会认可,获本次大赛创新产品优胜奖。 2024年网…

【LeetCode面试150】——392判断子序列

博客昵称:沈小农学编程 作者简介:一名在读硕士,定期更新相关算法面试题,欢迎关注小弟! PS:哈喽!各位CSDN的uu们,我是你的小弟沈小农,希望我的文章能帮助到你。欢迎大家在…

数据结构--第八天

--哈希表 -哈希表的概念 哈希表:用散列法存储的线性表被称为哈希表,使用的函数被称为散列函数或者哈希函数,f(k)被称为散列地址或者哈希地址。。通常情况下,散列表的储存空间是一个一维数组,而哈希地址为数组的下标 -哈…

【C# WPF】Style全局样式和资源字典

1.全局样式&#xff1a; 在Window.Resource中声明一个样式&#xff0c;总体为白色&#xff0c;为了更有区分度&#xff0c;采用BasedOn这一继承方式来在保留字体和边缘设置的基础上&#xff0c;更改颜色。 <Window x:Class"WpfApp1.Window1"xmlns"http://s…

LangChain 推出 LangGraph Studio:首款用于可视化、交互和调试复杂代理应用的代理 IDE

嘿&#xff0c;听说了吗&#xff1f;Langchain最近发布了一项重大更新&#xff0c;他们推出了官方Agent IDE&#xff0c;并且免费开放了LangGraph平台。这对于AI开发者来说是个好消息&#xff0c;意味着我们现在有了更强大的工具来构建智能应用。 今天&#xff0c;我们就来分享…

CI/CD——CI持续集成实验

目录 一. 安装Docker 二. 部署Jenkins 三. 配置邮箱 四. Harbor部署 五. Nexus Repository部署 五. sonarqube安装 六. 配置Docker 七. jenkins系统配置sonarqube 八. 配置pipeline 九. 构建并集成 一. 安装Docker docker-ce镜像_docker-ce下载地址_docker-ce安装教程…

HTTP、HTTPS、SOCKS5 三种协议特点详解

一、引言 在当今数字化的世界中&#xff0c;网络通信协议扮演着至关重要的角色。HTTP、HTTPS 和 SOCKS5 是三种常见的网络协议&#xff0c;它们各自具有独特的特点和应用场景。本文将对这三种协议进行详细的分析和比较&#xff0c;帮助您更好地理解它们在网络通信中的作用。 …

vue2+OpenLayers 天地图上打点并且显示相关的信息(2)

上次是在地图上打点 这次鼠标移动在图标上面显示相关的信息 首先有两个事件 鼠标移入 和 鼠标移出事件 pointermove pointerout 鼠标放上去之前 放上去后 代码如下 <template><div class"container"><div id"vue-openlayers" class&quo…

多模态大语言模型(MMLLM)的现状、发展和潜力

1、大模型 随着ChatGPT流行&#xff0c;大模型技术正逐渐成为AI领域的热点。许多行业大佬纷纷投身于这一赛道&#xff0c;展示了大模型的独特魅力和广阔前景。 王慧文&#xff0c;前美团联合创始人&#xff0c;发起“AI英雄帖”。 李志飞&#xff0c;出门问问创始人&#xff0…

7个Agent组成的公司,7分钟完成了一个游戏的开发

来源丨投资实习所&#xff08;ID&#xff1a;startupboy&#xff09; 作者丨StartupBoy 市场对 AI Agent 的期望一直很高&#xff0c;除了各种单向任务的 Agent 外&#xff0c;之前斯坦福大学和 Google 的一项实验已经展示了由 25 个 AI Agent 自行协同运行的虚拟城镇&#x…

如何使用Zoom API创建一个会议?

一、注册一个免费的Zoom账号&#xff08;zoom.us) 二、在Zoom 应用市场&#xff08;App Marketplace)创建一个server to server 的app&#xff0c;授予创建会议的权限。 三、创建一个Zoom API的服务端程序(node.js) 1、git clone https://github.com/zoom/server-to-server-o…

Unity新输入系统 之 InputActions(输入配置文件)

本文仅作笔记学习和分享&#xff0c;不用做任何商业用途 本文包括但不限于unity官方手册&#xff0c;unity唐老狮等教程知识&#xff0c;如有不足还请斧正​ 首先你应该了解新输入系统的基本单位Unity新输入系统 之 InputAction&#xff08;输入配置文件最基本的单位&#xff0…