高危警报：Windows 3389端口发现CVSS 9.8漏洞！

近期，发现一个新发布的高危Windows漏洞（CVE-2024-38077）。该漏洞被评为CVSS 9.8，代表近十年来Windows平台上最具威胁性的远程零点击（Zero-Click）/认证前（Pre-Auth）漏洞之一。研究人员已经公开了漏洞的验证视频，并确认这种漏洞多年未见。由于漏洞涉及远程桌面授权服务（Remote Desktop License Service），被命名为“MadLicense”（狂躁许可）。

“狂躁许可”漏洞影响广泛，覆盖从Windows 2000起的所有Windows服务器操作系统，包括Windows Server 2008 R2/2012/2016及微软内部预览版Windows Server 2025。攻击者只需发送特制数据包至启用相关服务的服务器，即可获得系统的最高权限，实现高效的攻击。与2019年的BlueKeep漏洞（CVE-2019-0708）相比，“狂躁许可”漏洞更为稳定，且不受网络级身份验证（NLA）的限制。研究表明，公网上有超过17万台Windows服务器可能受到影响，内网中受影响的服务器数量更为庞大。这种漏洞有可能引发大规模的蠕虫攻击，如同“永恒之蓝”事件一样。

此漏洞涉及Windows的远程桌面授权服务（Remote Desktop Licensing Service），用于认证和授权远程桌面服务（RDS）的访问。该服务广泛存在于启用了远程桌面的系统中。远程桌面通常允许两个会话，额外会话需要许可证。在安装远程桌面时，管理员通常会启用该服务，导致许多开放3389端口的服务器也启用了远程桌面授权服务。该漏洞于2024年5月报告给微软，并在7月的补丁日发布了修复补丁。微软为停止更新的系统（如Windows Server 2008/2008 R2/2012/2012 R2）也提供了补丁。

尽管微软官方补丁公告将该漏洞标记为“利用可能性较低”，但实际情况表明漏洞的利用证明和验证代码迅速出现，显示了这一评估的不准确性。微软的“可利用性分析”通常是安全团队和第三方安全公司评估漏洞的重要参考，但“狂躁许可”漏洞的出现凸显了仅依赖官方情报的风险。

验证和修复

手动检查：

• 确认是否安装了2024年7月的补丁。

• 检查Remote Desktop Licensing服务是否启用。

• 查看lserver.dll文件的版本以确认是否为易受攻击版本。

  
  

手动修复：

• 用户可以参考微软的安全公告手动安装补丁。如果无法安装补丁，微软建议关闭Remote Desktop Licensing服务，尽管这可能会影响远程桌面的正常运行。微软强烈建议尽快修复漏洞，以确保系统的全面保护。

鉴于漏洞的严重性和影响范围，以及利用代码的公开，建议用户立即采取行动。通过部署“洞见”产品或手动检查并修复漏洞，可以有效防止潜在的安全风险。