摘要: 1、漏洞背景 根据微软最新披露的远程代码执行超高危漏洞CVE-2024-38077, CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。攻击者无需任何前置条件,无需用户交互(零点击)便可直接获取服务器最高权限,执行任意操作。...
1、漏洞背景
根据微软最新披露的远程代码执行超高危漏洞CVE-2024-38077, CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。攻击者无需任何前置条件,无需用户交互(零点击)便可直接获取服务器最高权限,执行任意操作。漏洞影响Windows Server 2000到Windows Server 2025所有版本,这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。
2、漏洞复现及分析
为深入理解此漏洞,我搭建了包含漏洞的Windows Server 2016环境进行详细分析:
2.1、未安装RDL远程桌面授权服务检测结果
2.1.1、未安装RDL远程桌面授权服务
如下图,此时状态为未安装RDL远程桌面服务
2.1.2、漏洞检测不存在
使用CVE-2024-38077漏洞检测工具,显示Server Not installed,表示扫描的机器并未安装RDL服务,确认漏洞不存在
2.2、安装RDL远程桌面授权服务检测结果
2.2.1、安装RDL远程桌面授权服务
服务器管理 - 添加角色和功能 - 远程桌面服务安装
安装重启后验证RDL远程桌面服务已开启成功
2.2.2、漏洞检测存在
使用CVE-2024-38077漏洞检测工具进行验证,显示Vulnerability Detected,表示检测到了漏洞,确认漏洞存在
2.3、漏洞分析结论
经过对该漏洞的初步分析,结论如下:
- CVE-2024-38077漏洞仅影响Windows Server系列,不影响Windows PC。
- 漏洞根源在于远程桌面授权服务,且该服务默认并非自动开启。因此,即使启用了RDP服务,也不意味着必然受到此漏洞影响(除非同时启用了RDL服务)
3、检查当前系统版本
使用“Win+R”组合键调出“运行”,输入“winver”后执行确定,检查当前系统版本号为windows server 2016 14393.1884,windows server 2016的安全版本号为14397.7159,因当前版本号小于安全版本号,因此受CVE-2024-38077漏洞。
以下图片中“Build Number”为Windows Server的安全版本号,如果等于或高于表格中的版本,则不存在此漏洞
4、补丁安装
4.1、自动检查更新
- 点击Windows徽标键
- 点击“设置”图标
- 在“设置”窗口中,点击“更新和安全”
- 点击“windows更新”
- 选择“检查更新”,等待系统将自动检查并下载可用更新
- 安装完成后,根据提示重启计算机。可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。
4.2、手动下载补丁并安装
对于不能自动更新的系统版本,可参考以下步骤下载适用于该系统的补丁并安装
1)打开微软CVE-2024-38077补丁包位置,找到Windows server 16的补丁包
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
2)下载Windows server 16的补丁包KB5040434
3)将下载好的补丁包进行解压
4)写一个update.bat脚本进行安装
5)安装过程中报错 ,定位报错原因:“错误:0x800f0823”(如没有遇到报错则等待安装完成即可)
6)根据报错信息“错误:0x800f0823”,查找解决方法
7)对windows服务堆栈补丁包进行下载
https://www.catalog.update.microsoft.com/Search.aspx?q=servicing%20stack
8)下载好的windows服务堆栈补丁包双击安装
9)重新运行update.bat脚本安装补丁
出现“操作成功完成”证明CVE-2024-38077漏洞补丁包KB5040434安装成功
小tip:由于补丁包将近2G,因此安装时间较长,保守估时2h+,安装时请耐心等待
10)安装完成后,根据提示重启计算机,让安装好的补丁完成配置更新
5、漏洞修复验证
确保漏洞已成功修复,可采取以下两种措施验证CVE-2024-38077漏洞是否完成修复
5.1、查看系统补丁安装记录
在“控制面板”-“程序”-”程序和功能”-“已安装更新”中检查是否存在KBS040434系统补丁,如下图存在,则证明漏洞已修复
5.2、使用漏洞检测工具
如下图,使用CVE-2024-38077漏洞检测工具,显示Server Patched,表示服务器已经安装漏洞补丁,确认漏洞已完成修复
至此,CVE-2024-38077漏洞已成功部署补丁,完成修复。
稿源:https://community.sslcode.com.cn/66bec7399a494d224f7344bf.html