关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


CVE-2024-38077漏洞复现及修复(无坑版教程)

2024-08-27 10:57 推荐: 浏览: 22字号:

摘要: 1、漏洞背景 根据微软最新披露的远程代码执行超高危漏洞CVE-2024-38077, CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。攻击者无需任何前置条件,无需用户交互(零点击)便可直接获取服务器最高权限,执行任意操作。...

1、漏洞背景

根据微软最新披露的远程代码执行超高危漏洞CVE-2024-38077, CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。攻击者无需任何前置条件,无需用户交互(零点击)便可直接获取服务器最高权限,执行任意操作。漏洞影响Windows Server 2000到Windows Server 2025所有版本,这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。

2、漏洞复现及分析

为深入理解此漏洞,我搭建了包含漏洞的Windows Server 2016环境进行详细分析:

2.1、未安装RDL远程桌面授权服务检测结果

2.1.1、未安装RDL远程桌面授权服务

如下图,此时状态为未安装RDL远程桌面服务

CVE-2024-38077漏洞复现及修复(无坑版教程)

2.1.2、漏洞检测不存在

使用CVE-2024-38077漏洞检测工具,显示Server Not installed,表示扫描的机器并未安装RDL服务,确认漏洞不存在

CVE-2024-38077漏洞复现及修复(无坑版教程)

2.2、安装RDL远程桌面授权服务检测结果

2.2.1、安装RDL远程桌面授权服务

服务器管理 - 添加角色和功能 - 远程桌面服务安装

CVE-2024-38077漏洞复现及修复(无坑版教程)

安装重启后验证RDL远程桌面服务已开启成功

CVE-2024-38077漏洞复现及修复(无坑版教程)

2.2.2、漏洞检测存在

使用CVE-2024-38077漏洞检测工具进行验证,显示Vulnerability Detected,表示检测到了漏洞,确认漏洞存在

CVE-2024-38077漏洞复现及修复(无坑版教程)

2.3、漏洞分析结论

经过对该漏洞的初步分析,结论如下:

  1. CVE-2024-38077漏洞仅影响Windows Server系列,不影响Windows PC。
  2. 漏洞根源在于远程桌面授权服务,且该服务默认并非自动开启。因此,即使启用了RDP服务,也不意味着必然受到此漏洞影响(除非同时启用了RDL服务)

3、检查当前系统版本

使用“Win+R”组合键调出“运行”,输入“winver”后执行确定,检查当前系统版本号为windows server 2016 14393.1884,windows server 2016的安全版本号为14397.7159,因当前版本号小于安全版本号,因此受CVE-2024-38077漏洞。

CVE-2024-38077漏洞复现及修复(无坑版教程)

以下图片中“Build Number”为Windows Server的安全版本号,如果等于或高于表格中的版本,则不存在此漏洞

CVE-2024-38077漏洞复现及修复(无坑版教程)

4、补丁安装

4.1、自动检查更新

  1. 点击Windows徽标键
  2. 点击“设置”图标CVE-2024-38077漏洞复现及修复(无坑版教程)
  3. 在“设置”窗口中,点击“更新和安全”CVE-2024-38077漏洞复现及修复(无坑版教程)
  4. 点击“windows更新”CVE-2024-38077漏洞复现及修复(无坑版教程)
  5. 选择“检查更新”,等待系统将自动检查并下载可用更新CVE-2024-38077漏洞复现及修复(无坑版教程)
  6. 安装完成后,根据提示重启计算机。可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。

4.2、手动下载补丁并安装

对于不能自动更新的系统版本,可参考以下步骤下载适用于该系统的补丁并安装

1)打开微软CVE-2024-38077补丁包位置,找到Windows server 16的补丁包

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

CVE-2024-38077漏洞复现及修复(无坑版教程)

2)下载Windows server 16的补丁包KB5040434

CVE-2024-38077漏洞复现及修复(无坑版教程)

3)将下载好的补丁包进行解压

CVE-2024-38077漏洞复现及修复(无坑版教程)

CVE-2024-38077漏洞复现及修复(无坑版教程)

4)写一个update.bat脚本进行安装

CVE-2024-38077漏洞复现及修复(无坑版教程)

5)安装过程中报错 ,定位报错原因:“错误:0x800f0823”(如没有遇到报错则等待安装完成即可)

CVE-2024-38077漏洞复现及修复(无坑版教程)

6)根据报错信息“错误:0x800f0823”,查找解决方法

CVE-2024-38077漏洞复现及修复(无坑版教程)

7)对windows服务堆栈补丁包进行下载

https://www.catalog.update.microsoft.com/Search.aspx?q=servicing%20stack

CVE-2024-38077漏洞复现及修复(无坑版教程)

8)下载好的windows服务堆栈补丁包双击安装

CVE-2024-38077漏洞复现及修复(无坑版教程)

CVE-2024-38077漏洞复现及修复(无坑版教程)

9)重新运行update.bat脚本安装补丁

出现“操作成功完成”证明CVE-2024-38077漏洞补丁包KB5040434安装成功

小tip:由于补丁包将近2G,因此安装时间较长,保守估时2h+,安装时请耐心等待

CVE-2024-38077漏洞复现及修复(无坑版教程)

10)安装完成后,根据提示重启计算机,让安装好的补丁完成配置更新

CVE-2024-38077漏洞复现及修复(无坑版教程)

5、漏洞修复验证

确保漏洞已成功修复,可采取以下两种措施验证CVE-2024-38077漏洞是否完成修复

5.1、查看系统补丁安装记录

在“控制面板”-“程序”-”程序和功能”-“已安装更新”中检查是否存在KBS040434系统补丁,如下图存在,则证明漏洞已修复

CVE-2024-38077漏洞复现及修复(无坑版教程)5.2、使用漏洞检测工具

如下图,使用CVE-2024-38077漏洞检测工具,显示Server Patched,表示服务器已经安装漏洞补丁,确认漏洞已完成修复

CVE-2024-38077漏洞复现及修复(无坑版教程)

至此,CVE-2024-38077漏洞已成功部署补丁,完成修复。

稿源:https://community.sslcode.com.cn/66bec7399a494d224f7344bf.html

联系站长租广告位!

中国首席信息安全官
Copy link