这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可,也有文章认为该漏洞实际利用的是135端口。攻击者无需任何前置条件,无需用户交互(零点击)便可直接获取服务器最高权限,执行任意操作。
1、检查系统版本
使用”Win+R”组合键调出“运行”,输入“winver”后执行确定,检查对应系统版本是否等于或高于以下表格中的版本。如果等于或高于表格中的版本,则不存在此漏洞。
2.修复方法
2.1通过网络策略配置只允许指定运维主机访问windows服务器3389,135端口。
2.2安装补丁相关补丁进行修复。补丁链接:https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2024-38077
https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2024-38077
3.补丁安装报错不适用于你的计算机
根据微软的最新要求,大家在安装 CVE-2024-38077 补丁前,需要安装 前置补丁 服务堆栈更新(SSU),运行旧版 OS 需在设备上安装 SHA-2 代码签名支持 kb4474419 ,支持终止的系统需要持有ESU授权,补丁下载比较繁琐,笔者为大家整理好对应的系统.
| 序号 | 系统版本 | 前置补丁 | 漏洞补丁 |
| 1 | windows server 2022 | KB5025230 | KB5040437 |
| 2 | windows server 2019 | kb5005112 | KB5040430 |
| 3 | windows server 2016 | kb5040562 | KB5040434 |
| 4 | windows server 2012 R2 | KB5040569 | KB5040456 |
| 5 | windows server 2012 | KB5040570 | KB5040485 |
| 6 | windows server 2008 R2 | kb5039339、kb4474419 | KB5040498 |
| 7 | windows server 2008 x64 | kb5039341 | KB5040490 |
| 8 | windows server 2008 x86 | kb5039341 | KB5040490 |
参考链接:https://rivers.chaitin.cn/blog/cqqv8q90lne22g7e74e0
