文章目录
- 背景
- 问题描述
- 产生原因
- 解决方案
- 解决步骤
- 1. 安装BypassESU工具
- 2. 补丁安装
- 方法一:使用 Windows 更新功能
- 方法二:手动下载补丁并安装
- 补丁验证
- 方法一:在“控制面板”-“程序”-”程序和功能”-“已安装更新”中检查是否存在 KBS040434 系统补丁
- 方法二:使用漏洞检测工具
- 问题解决
背景
根据微软最新披露的远程代码执行超高危漏洞 CVE-2024-38077,CVSS评分高达9.8,可导致开启了远程桌面许可服务(RDL)的Windows Server 操作系统完全沦陷。攻击者无需任何前置条件,无需用户交互(零点击)便可直接获取服务器最高权限,执行任意操作。漏洞影响Windows Server2008 到Windows Server 2022多个版本。
问题描述
Windows Server 2012和Windows Server 2018安装安全补丁后重启服务器提示更新失败,最终失败回滚,无法安装安全补丁。
问题截图
产生原因
由于Windows Server 2008* 和Windows Server 2012* 的操作系统已经停止维护了,想要成功应用安装后续微软提供的安全补丁就要购买微软ESU(扩展安全更新服务:Extended Security Updates(ESUs) )才能完全成功安装后续补丁。
解决方案
1.购买微软ESU服务(应该没有人会选择这个方案,有钱除外)
2.使用BypassESU工具绕过微软扩展安全更新资格
解决步骤
此次教程以BypassESU工具为例,进行以下讲解
1. 安装BypassESU工具
工具来源于互联网,本人不对工具安全性做任何承诺与鉴别,请自行做好安全检测
右键单击LiveOS-Setup.cmd,然后单击“以管理员身份运行”
从菜单中,按相应的数字以获取所需的选项:
1. 完全安装{ESU Suppressor + WU ESU Patcher}
最推荐的选项
2. 安装ESU Suppressor
主要用于仅安全性更新用户,不需要通过WU进行每月汇总
3. 安装WU ESU Patcher
这仅允许通过WU提供ESU更新
如上图选择安装1,安装完毕后,按任意键退出。
出现如上图所示提示,证明已经安装成功。
2. 补丁安装
方法一:使用 Windows 更新功能
方法二:手动下载补丁并安装
对于不能自动更新的系统版本,可参考以下步骤下载适用于该系统的补丁并安装(以Windows server 2008为例)
- 打开微软 CVE-2024-38077 补丁包位置,找到 Windows server 2008的补丁包,选择每月汇总或者仅限安全都可以。
- 下载Windows server 2008的补丁包KB5040497
- 双击安装下载好的Windows补丁包安装即可。
安装过程中报错提示“更新计算机上的Windows模块安装程序”
直接下载目标补丁是不能安装装的,得先安装前置补丁
windows server 2008
kb5039341 --> KB5040490
windows server 2008 R2
kb4474419 --> kb5039339 --> KB5040498
windows server 2012
KB5040570 --> KB5040485
windows server 2012 R2
KB5040569 --> KB5040456
windows server 2016
kb5040562 --> KB5040434
windows server 2019
kb5005112 --> KB5040430
安装成功后,根据提示重启计算机,完成配置更新。
补丁验证
方法一:在“控制面板”-“程序”-”程序和功能”-“已安装更新”中检查是否存在 KBS040434 系统补丁
如下图显示存在,表明漏洞已修复。
方法二:使用漏洞检测工具
如下图,使用CVE-2024-38077 漏洞检测工具,显示Server Patched,表示服务器已经安装补丁,
确认漏洞已完成修复。
问题解决
至此,CVE-2024-38077 漏洞的安全补丁已成功应用安装,完成修复。
