首頁 > 安全研究 > 安全通報 > 安全事件響應

微軟超高危漏洞“狂躁許可”來襲!啟明星辰提供解決方案

發布時間 2024-08-11

近日,啟明星辰監測到Windows遠程桌面許可服務遠程代碼執行漏洞(CVE-2024-38077)相關信息。該漏洞影響所有啟用 RDL 服務的 Windows Server服務器,未經身份認證的攻擊者可利用該漏洞遠程執行代碼,獲取服務器控制權限。目前,該漏洞的技術原理和POC偽代碼已公開。鑒于此漏洞影響范圍較大,建議盡快做好自查及防護。


漏洞詳情


2024年07月09日,微軟官方修補了一個存在于Windows遠程桌面授權服務中的遠程代碼執行漏洞(CVE-2024-38077)。Windows 遠程桌面授權服務(RDL)是用于管理遠程桌面(RDP)的重要組件,其通過管理和分配許可證來控制和監控遠程連接的合法性。


經過研究確認,該漏洞是由于RDL服務未正確校驗用戶輸入數據,導致在解析時產生溢出,攻擊者可以在未經過身份驗證的情況下,通過向開啟RDL服務的主機發送相關遠程調用來完成漏洞利用。成功利用該漏洞即可實現遠程代碼執行,從而導致敏感數據的泄露,以及可能的惡意軟件傳播。該漏洞幾乎影響所有Windows Server版本。


圖片1.png


漏洞復現


圖片2.png


解決方案


一、官方修復方案


官方已發布安全更新,建議將受影響的Windows升級至最新版本: 

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077


二、臨時修復方案


該服務默認未安裝,如沒有相關業務需求,可以關閉Remote Desktop Licensing服務。


三、啟明星辰解決方案


1、啟明星辰檢測與防護類產品方案


(1)啟明星辰“天闐威脅分析一體機(TAR)”升級到20240810版本即可支持檢測該漏洞。


圖片3.png


(2)啟明星辰 “天闐超融合檢測探針(CSP)” 升級到20240810版本即可支持檢測該漏洞。


圖片4.png


(3)啟明星辰“天清入侵防御系統(IPS)”升級到20240810版本即可支持防護該漏洞。


圖片5.png


2、啟明星辰漏掃產品方案


(1)“啟明星辰天鏡脆弱性掃描與管理系統”6075版本已緊急發布針對該漏洞的升級包,支持對該漏洞進行掃描,用戶升級標準漏洞庫后即可對該漏洞進行掃描:


6070版本升級包為607000581-607000582.vup,升級包下載地址:https://venustech.download.venuscloud.cn/


圖片6.jpg


(2)啟明星辰天鏡脆弱性掃描與管理系統608X系列版本已緊急發布針對該漏洞的升級包,支持對該漏洞進行掃描,用戶升級標準漏洞庫后即可對該漏洞進行掃描:


6080版本升級包為主機插件包6080000130-S6080000131.svs漏掃插件包下載地址:

https://venustech.download.venuscloud.cn/

圖片7.jpg


(3)通過啟明星辰天鏡脆弱性掃描與管理系統的配置核查模塊對該漏洞影響的Windows版本進行獲取,使用智能化分析研判機制驗證該漏洞是否存在,如果存在該漏洞建議更新到安全版本。


請使用啟明星辰天鏡脆弱性掃描與管理系統產品的用戶盡快升級到最新版本,及時對該漏洞進行檢測,以便盡快采取防范措施。


3、啟明星辰資產與脆弱性管理平臺產品方案


啟明星辰資產與脆弱性管理平臺實時采集并更新情報信息,對入庫資產漏洞Windows遠程桌面授權服務遠程代碼執行漏洞(CVE-2024-38077)進行管理。 


圖片8.jpg


4、啟明星辰安全管理和態勢感知平臺產品方案


用戶可以通過泰合安全管理和態勢感知平臺,進行關聯策略配置,結合實際環境中系統日志和安全設備的告警信息進行持續監控,從而發現“Windows遠程桌面授權服務遠程代碼執行”的漏洞利用攻擊行為。


(1)通過脆弱性發現功能針對“Windows遠程桌面授權服務遠程代碼執行漏洞(CVE-2024-38077)”漏洞掃描任務,排查管理網絡中受此漏洞影響的重要資產。


圖片9.png


(2)平臺“關聯分析”模塊中,添加“L2_Windows遠程桌面授權服務遠程代碼執行漏洞”,通過啟明星辰檢測設備、目標主機系統等設備的告警日志,發現外部攻擊行為:


圖片10.png


通過分析規則自動將L2_Windows遠程桌面授權服務遠程代碼執行漏洞利用的可疑行為源地址添加到觀察列表“高風險連接”中,作為內部情報數據使用;


(3)添加“L3_Windows遠程桌面授權服務遠程代碼執行漏洞利用成功”,條件日志名稱等于或包含“L2_Windows遠程桌面授權服務遠程代碼執行漏洞利用”,攻擊結果等于“攻擊成功”,目的地址引用資產漏洞或源地址匹配威脅情報,從而提升關聯規則的置信度。


圖片11.png


(4)根據對CVE-2024-38077漏洞的攻擊利用過程進行分析,攻擊鏈涉及多個ATT&CK戰術和技術階段,覆蓋的TTP包括:


TA0001初始訪問:T1190利用面向公眾的應用程序

TA0002執行:T1059命令和腳本解釋器

TA0004權限提升:T1548濫用提權控制機制

TA0010數據外泄:T1041數據通過C2通道外泄


圖片12.png


通過泰合安全管理和態勢感知平臺內置SOAR自動化或半自動化編排聯動響應處置能力,針對該漏洞利用的告警事件編排劇本,進行自動化處置。

上一篇 下一篇