新闻中心

了解更多网络安全运营信息

当前位置:首页 > 新闻中心 > 行业新闻

高危警报:Windows 3389端口发现CVSS 9.8漏洞!

分类:行业新闻    时间:2024-08-21 09:02:43    阅读:616
-----------

基本信息
-----------

近期,发现一个新发布的高危Windows漏洞(CVE-2024-38077)。该漏洞被评为CVSS 9.8,代表近十年来Windows平台上最具威胁性的远程零点击(Zero-Click)/认证前(Pre-Auth)漏洞之一。研究人员已经公开了漏洞的验证视频,并确认这种漏洞多年未见。由于漏洞涉及远程桌面授权服务(Remote Desktop License Service),被命名为“MadLicense”(狂躁许可)。

影响范围
-----------

“狂躁许可”漏洞影响广泛,覆盖从Windows 2000起的所有Windows服务器操作系统,包括Windows Server 2008 R2/2012/2016及微软内部预览版Windows Server 2025。攻击者只需发送特制数据包至启用相关服务的服务器,即可获得系统的最高权限,实现高效的攻击。与2019年的BlueKeep漏洞(CVE-2019-0708)相比,“狂躁许可”漏洞更为稳定,且不受网络级身份验证(NLA)的限制。研究表明,公网上有超过17万台Windows服务器可能受到影响,内网中受影响的服务器数量更为庞大。这种漏洞有可能引发大规模的蠕虫攻击,如同“永恒之蓝”事件一样。

-----------
背景和补丁
-----------

此漏洞涉及Windows的远程桌面授权服务(Remote Desktop Licensing Service),用于认证和授权远程桌面服务(RDS)的访问。该服务广泛存在于启用了远程桌面的系统中。远程桌面通常允许两个会话,额外会话需要许可证。在安装远程桌面时,管理员通常会启用该服务,导致许多开放3389端口的服务器也启用了远程桌面授权服务。该漏洞于2024年5月报告给微软,并在7月的补丁日发布了修复补丁。微软为停止更新的系统(如Windows Server 2008/2008 R2/2012/2012 R2)也提供了补丁。

-----------
漏洞情报
-----------

尽管微软官方补丁公告将该漏洞标记为“利用可能性较低”,但实际情况表明漏洞的利用证明和验证代码迅速出现,显示了这一评估的不准确性。微软的“可利用性分析”通常是安全团队和第三方安全公司评估漏洞的重要参考,但“狂躁许可”漏洞的出现凸显了仅依赖官方情报的风险。

验证和修复

手动检查:

  • 确认是否安装了2024年7月的补丁。

  • 检查Remote Desktop Licensing服务是否启用。

  • 查看lserver.dll文件的版本以确认是否为易受攻击版本。


手动修复:

  • 用户可以参考微软的安全公告手动安装补丁。如果无法安装补丁,微软建议关闭Remote Desktop Licensing服务,尽管这可能会影响远程桌面的正常运行。微软强烈建议尽快修复漏洞,以确保系统的全面保护。

-----------
尽快行动
-----------

鉴于漏洞的严重性和影响范围,以及利用代码的公开,建议用户立即采取行动。通过部署“洞见”产品或手动检查并修复漏洞,可以有效防止潜在的安全风险。