微软RDL远程代码执行超高危漏洞(CVE-2024-38077)漏洞检测排查方式
漏洞名称:微软RDL远程代码执行超高危漏洞(CVE-2024-38077)
CVSS core: 9.8
漏洞描述:
CVE-2024-38077 是微软近期披露的一个极其严重的远程代码执行漏洞。该漏洞存在于Windows远程桌面许可管理服务(RDL)中,攻击者无需任何权限即可实现远程代码执行,获取服务器最高权限。由于在解码用户输入的许可密钥包时,未正确检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区溢出。该漏洞影响 Windows Server 2000 到 Windows Server 2025 所有版本。
需要注意的是:虽然RDL服务不是默认安装,但很多管理员会手工开启,所以需要尽快排查并按照微软官方处置建议进行更新升级
漏洞检测方式:
可通过使用Goby检测开放RDL服务的主机,检查步骤如下:
Goby社区版检测方式:
第一步:[下载并打开Goby社区版]
第二步:选择135端口进行资产扫描
第三步:进入资产管理页面,在135端口资产中,使用语法:"banner=3d267954-eeb7-11d1-b94e-00c04fa3080d"进行检索,即可检索开启了RDL服务的主机
Goby红队版更新漏洞库至最新版本即可一键扫描探测
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
文章目录