本文介绍了名为“狂躁许可(MadLicense)”的远程桌面许可服务远程代码执行漏洞(CVE-2024-38077)的相关细节。该漏洞影响Windows Server的所有版本,从2000到2025,已存在近30年。该漏洞允许远程攻击者进行远控、勒索、蠕虫等攻击,且无需任何权限即可实现远程代码执行。微软已在2024年7月的更新中发布补丁,并提供了修复建议。
天融信阿尔法实验室监测到“狂躁许可”远程桌面许可服务远程代码执行漏洞的部分细节及PoC伪代码公开。
该漏洞是Windows Server的远程桌面许可服务(RDL)中的一个堆溢出漏洞(CWE-122)。攻击者可利用此漏洞在目标服务器上执行任意代码。
该漏洞影响所有版本的Windows Server,从Windows Server 2000到Windows Server 2025。
微软已发布补丁,用户可通过Windows自动更新或手动安装补丁来修复此漏洞。对于不能自动更新的系统版本,用户可下载适用于该系统的7月补丁进行安装。
阿尔法实验室从事攻防技术研究,提供安全领域前瞻性技术支撑,并为此次公告拥有修改和解释权。
0x00 背景介绍
8月9日,天融信阿尔法实验室监测到被命名为“狂躁许可(MadLicense)”的远程桌面许可服务远程代码执行漏洞(CVE-2024-38077)的部分漏洞细节及PoC伪代码在互联网上公开,微软已在2024年7月月度更新中发布此漏洞的补丁。
此漏洞影响Windows Server 2000到Windows Server 2025所有版本,已存在近30年。远程攻击者可以通过网络稳定利用此漏洞进行远控、勒索、蠕虫等攻击,且利用此漏洞无需任何权限即可实现远程代码执行。
远程桌面许可服务(Remote Desktop Licensing,RDL)是Windows Server的一个组件,用于管理和颁发远程桌面服务的许可证,确保对远程应用程序和桌面进行安全且合规的访问。该服务被广泛部署于开启了Windows远程桌面服务(3389端口)的服务器上。RDL服务不是默认安装,但很多管理员会手动开启。
此漏洞是Windows Server RDL服务中的一个堆溢出漏洞(CWE-122),由于在解码用户输入的许可密钥包时,未正确检验解码后数据长度与缓冲区大小之间的关系,导致堆溢出。未经授权的远程攻击者通过向存在漏洞的Windows Server发送特制的数据包来利用此漏洞,成功利用此漏洞可在该目标服务器上执行任意代码。
目前,该漏洞的部分细节以及PoC伪代码已公开,但需要进行分析漏洞成因后,修改该PoC伪代码,才能真正复现该漏洞。
CVE-2024-38077
严重
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2019 (Server Core installation)
