【风险提示】Windows 远程桌面授权服务远程代码执行漏洞（CVE-2024-38077）

长亭安全应急响应中心 2024-08-09 16:10

Windows 远程桌面授权服务（RDL）是一个用于管理远程桌面服务许可证的组件，确保对远程桌面连接的合法性。2024 年 8 月，互联网公开披露了该服务中的一个严重漏洞的部分细节（CVE-2024-38077），攻击者可以利用该漏洞在无需用户交互的情况下，执行远程代码，获得服务器的最高权限。此漏洞影响范围广泛，涵盖从 Windows Server 2000 到 Windows Server 2025 的所有版本。
漏洞描述

Description 

01

漏洞成因CVE-2024-38077 是 Windows 远程桌面授权服务（RDL）中的一个堆溢出漏洞。该漏洞在解码用户输入的许可密钥包时，未正确验证解码后的数据长度与缓冲区大小之间的关系，从而导致缓冲区溢出。这使得攻击者可以通过发送特制的数据包，在目标服务器上执行任意代码。需要注意的是，RDL 服务并非默认启用，但许多管理员会手动启用它以扩展功能，例如增加远程桌面会话的数量（默认情况下，Windows 服务器仅允许两个并发会话）。此外，在部分堡垒机和 VDI 场景中，RDL 服务的启用也是必要的。漏洞影响成功利用该漏洞的攻击者可以实现远程代码执行，控制受影响的服务器，潜在的危害包括数据泄露、系统崩溃，甚至可能被用于传播勒索等恶意软件。此漏洞影响到所有启用了 RDL 服务的 Windows Server服务器，特别是那些未及时更新补丁的系统。处置优先级：高漏洞类型：缓冲区溢出漏洞危害等级：严重触发方式：网络远程权限认证要求：无需权限系统配置要求：需要启用 RDL 服务（默认不开启）用户交互要求：无需用户交互利用成熟度：POC伪代码公开（不可直接使用）批量可利用性：可使用通用 POC/EXP，批量检测/利用修复复杂度：低，官方提供补丁修复方案影响版本 Affects 03该漏洞仅影响Windows Server版本：Windows Server 2000 至 Windows Server 2025 所有版本解决方案 Solution 04升级修复方案1. 使用 Windows 自动更新功能，确保系统安装了 2024 年 7 月的最新安全补丁。2. 手动安装补丁：访问微软的安全更新页面[1]，下载并安装针对 CVE-2024-38077 的补丁。临时缓解方案临时关闭远程桌面授权服务（RDL）。虽然关闭 RDL 不会影响远程桌面服务，但它会限制同时运行的会话数。
产品支持

Support 

05
牧云：漏洞检测引擎从7月版本（ VULN-24.07.011） 开始支持该漏洞的检测。
时间线

Timeline 

06
7月9日 微软发布漏洞补丁公告8月9日 互联网公开披露该漏洞部分细节8月9日 长亭应急响应中心发布通告
参考资料：

[1].https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急服务团队

7*24小时，守护您的安全

第一时间找到我们：

邮箱：[email protected]

应急响应热线：4000-327-707