服务器自微软远程漏洞后
微软披露了一项严重的远程代码执行漏洞(CVE-2024-38077),该漏洞存在于Windows Server的远程桌面许可管理服务(RDL)中,这一漏洞允许攻击者在无需任何前置条件和用户交互的情况下,直接获取服务器的最高权限并执行任意操作,鉴于其严重性和广泛影响,各企业和组织需迅速采取行动进行排查和修复,本文将详细介绍该漏洞的背景、影响范围及修复措施。
漏洞详情
此次漏洞被命名为“Windows 远程桌面授权服务远程代码执行漏洞”,漏洞编号为CVE-2024-38077,该漏洞的危害等级被评为“严重”,CVSS评分高达9.8,表明其破坏力极大,具体详情如下:
| 漏洞名称 | Windows 远程桌面授权服务远程代码执行漏洞 |
| 漏洞编号 | CVE-2024-38077 |
| 危害等级 | 严重 |
| 漏洞类型 | 远程代码执行 |
| 影响范围 | 开启Windows Remote Desktop Licensing(RDL)Service的Windows服务器 |
| 影响版本 | Windows Server 2000到Windows Server 2025的所有版本 |
影响范围分析
该漏洞影响范围广泛,涵盖了从Windows Server 2000到Windows Server 2025的所有版本,具体受影响的版本包括但不限于以下几种:
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Windows Server 2022
值得注意的是,Windows 10和Windows 11等非Server版本的操作系统,不论是否开启Windows远程桌面(RDS),均不受影响。
漏洞复现与处理
漏洞复现
攻击者可以利用该漏洞通过解码用户输入的许可密钥包时未正确检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区溢出,进而利用这个溢出实现远程命令执行攻击。
漏洞排查
各单位应尽快进行风险排查,确认系统版本是否在受影响范围内,具体步骤如下:
1、检查系统版本:通过“Win+R”组合键调出运行窗口,输入“winver”后执行确定,查看系统版本。
2、确认RDL服务状态:在服务器管理器的角色管理里确认RDL服务是否启用,如果未启用,则当前系统不受此漏洞影响。
3、检查更新历史:在“设置”->“更新与安全”->“Windows更新”->“更新历史”中检查是否存在对应补丁。
漏洞修复建议
为了有效防范该漏洞带来的安全风险,建议采取以下措施:
1、安装官方补丁:Windows系统默认启用Microsoft Update,当检测到可用更新时会自动下载并在下次启动时安装,对于不能自动更新的系统版本,可参考微软官方通告手动下载并安装补丁。
补丁获取地址:[https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077)
2、禁用RDL服务:如业务允许,建议禁用Windows远程桌面许可管理服务(RDL),使用命令行工具,先确认RDL服务是否开启,再关闭该服务。
sc query TermServLicensing sc stop TermServLicensing
3、端口访问控制:若必须开启远程桌面服务,应做好端口访问控制,设置Windows Server只允许最小必要的IP访问,并通过堡垒机访问远程桌面端口。
相关技术支持
在排查和修复过程中,如遇技术问题或需要进一步支持,各单位可联系信息化工作办公室(联系电话:88364731)协助解决。
相关问题与解答
问题1:如何确认我的Windows服务器是否受CVE-2024-38077漏洞影响?
答:可以通过以下步骤确认:
1、按下“Win+R”组合键,输入“winver”并回车,查看系统版本。
2、确认系统版本是否在受影响范围内(Windows Server 2000到Windows Server 2025)。
3、在服务器管理器中的角色管理里确认RDL服务是否启用。
4、如果RDL服务启用且系统版本在受影响范围内,则该系统受CVE-2024-38077漏洞影响。
问题2:如何快速修复CVE-2024-38077漏洞?
答:可以采取以下措施快速修复该漏洞:
1、安装官方补丁:确保Windows Update开启,系统会自动下载并安装补丁,对于不能自动更新的系统,手动下载并安装适用于该系统版本的补丁。
2、禁用RDL服务:如非必要,可禁用Windows远程桌面许可管理服务(RDL),以消除安全隐患。
3、端口访问控制:若必须开启远程桌面服务,设置严格的端口访问控制策略,只允许必要的IP地址访问。
以上内容就是解答有关“服务器自微软远程漏洞后”的详细内容了,我相信这篇文章可以为您解决一些疑惑,有任何问题欢迎留言反馈,谢谢阅读。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/8692.html<
