OG东方厅

首页 > 安全钻研 > 安全传递 > 安全事务响应

微软超高危缝隙“狂躁许可”来袭！OG东方厅提供解决规划

颁布功夫 2024-08-11

近日，，，OG东方厅监测到Windows远程桌面许可服务远程代码执行缝隙（CVE-2024-38077）有关信息。该缝隙影响所有启用 RDL 服务的 Windows Server服务器，，，未经身份认证的攻击者可利用该缝隙远程执行代码，，，获取服务器节制权限。目前，，，该缝隙的技术道理和POC伪代码已公开。鉴于此缝隙影响领域较大，，，建议尽快做好自查及防护。

缝隙详情

2024年07月09日，，，微软官方修补了一个存在于Windows远程桌面授权服务中的远程代码执行缝隙（CVE-2024-38077）。Windows 远程桌面授权服务（RDL）是用于治理远程桌面(RDP)的重要组件，，，其通过治理和分配许可证来节制和监控远程衔接的合法性。

经过钻研确认，，，该缝隙是由于RDL服务未正确校验用户输入数据，，，导致在解析时产生溢出，，，攻击者能够在未经过身份验证的情况下，，，通过向开启RDL服务的主机发送有关远程挪用来实现缝隙利用。成功利用该缝隙即可实现远程代码执行，，，从而导致敏感数据的泄露，，，以及可能的恶意软件传布。该缝隙险些影响所有Windows Server版本。

图片1.png

缝隙复现

图片2.png

解决规划

一、官方修复规划

官方已颁布安全更新，，，建议将受影响的Windows升级至最新版本：：：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

二、一时修复规划

该服务默认未装置，，，如没有有关业务需要，，，能够关闭Remote Desktop Licensing服务。

三、OG东方厅解决规划

1、OG东方厅检测与防护类产品规划

（1）OG东方厅“天阗威胁分析一体机（TAR）”升级到20240810版本即可支持检测该缝隙。

图片3.png

（2）OG东方厅 “天阗超融合检测探针（CSP）” 升级到20240810版本即可支持检测该缝隙。

图片4.png

（3）OG东方厅“天清入侵防御系统（IPS）”升级到20240810版本即可支持防护该缝隙。

图片5.png

2、OG东方厅漏扫产品规划

（1）“OG东方厅天镜脆弱性扫描与治理系统”6075版本已垂危颁布针对该缝隙的升级包，，，支持对该缝隙进行扫描，，，用户升级尺度缝隙库后即可对该缝隙进行扫描：：：

6070版本升级包为607000581-607000582.vup，，，升级包下载地址：：：https://venustech.download.venuscloud.cn/

图片6.jpg

（2）OG东方厅天镜脆弱性扫描与治理系统608X系列版本已垂危颁布针对该缝隙的升级包，，，支持对该缝隙进行扫描，，，用户升级尺度缝隙库后即可对该缝隙进行扫描：：：

6080版本升级包为主机插件包6080000130-S6080000131.svs漏扫插件包下载地址：：：

https://venustech.download.venuscloud.cn/

图片7.jpg

（3）通过OG东方厅天镜脆弱性扫描与治理系统的配置核查�？？槎愿梅煜队跋斓腤indows版本进行获取，，，使用智能化分析研判机制验证该缝隙是否存在，，，若是存在该缝隙建议更新到安全版本。

请使用OG东方厅天镜脆弱性扫描与治理系统产品的用户尽快升级到最新版本，，，实时对该缝隙进行检测，，，以便尽快采取防备措施。

3、OG东方厅资产与脆弱性治理平台产品规划

OG东方厅资产与脆弱性治理平台实时采集并更新谍报信息，，，对入库资产缝隙Windows远程桌面授权服务远程代码执行缝隙（CVE-2024-38077）进行治理。

图片8.jpg

4、OG东方厅安全治理和态势感知平台产品规划

用户能够通过泰合安全治理和态势感知平台，，，进行关联战术配置，，，结合现实环境中系统日志和安全设备的告警信息进行持续监控，，，从而发现“Windows远程桌面授权服务远程代码执行”的缝隙利用攻击行为。

（1）通过脆弱性发现职能针对“Windows远程桌面授权服务远程代码执行缝隙（CVE-2024-38077）”缝隙扫描工作，，，排查治理网络中受此缝隙影响的重要资产。

图片9.png

（2）平台“关联分析”�？？橹�，，，增长“L2_Windows远程桌面授权服务远程代码执行缝隙”，，，通过OG东方厅检测设备、指标主机系统等设备的告警日志，，，发现外部攻击行为：：：

图片10.png

通过度析规定自动将L2_Windows远程桌面授权服务远程代码执行缝隙利用的可疑行为源地址增长到观察列表“高风险衔接”中，，，作为内部谍报数据使用；；

（3）增长“L3_Windows远程桌面授权服务远程代码执行缝隙利用成功”，，，前提日志名称等于或蕴含“L2_Windows远程桌面授权服务远程代码执行缝隙利用”，，，攻击了局等于“攻击成功”，，，主张地址引用资产缝隙或源地址匹配威胁谍报，，，从而提升关联规定的相信度。

图片11.png

（4）凭据对CVE-2024-38077缝隙的攻击利用过程进行分析，，，攻击链涉及多个ATT&CK战术和技术阶段，，，覆盖的TTP蕴含：：：

TA0001初始接见：：：T1190利用面向公家的利用法式

TA0002执行：：：T1059号令和剧本诠释器

TA0004权限提升：：：T1548滥用提权节制机制

TA0010数据外泄：：：T1041数据通过C2通道外泄

图片12.png

通过泰合安全治理和态势感知平台内置SOAR自动化或半自动化编排联动响应措置能力，，，针对该缝隙利用的告警事务编排剧本，，，进行自动化措置。

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合众数据书生电子云子可信

司法申明

Copyright ? OG东方厅版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】