一、漏洞概述

近期，微软披露一个远程代码执行严重漏洞（CVE-2024-38077）。这一漏洞存在于Windows远程桌面许可管理服务（RDL）中，该服务被部署于开启了Windows远程桌面（3389端口）的服务器，用于管理远程桌面连接许可。攻击者无需前置条件，便可直接获取开启该服务的Windows服务器最高权限，执行任意操作。

微软官方公告

二、漏洞详情

远程桌面许可服务（RDL）是 Windows Server 的一个组件，用于管理和颁发远程桌面服务的许可证，确保对远程应用程序和桌面的安全且合规的访问。

Windows远程桌面许可服务（RDL）默认不开启，不受漏洞影响。鉴于漏洞poc部分信息已经曝光，并迅速成为研究热点，建议尽快修复漏洞。

漏洞名称：Windows 远程桌面授权服务远程代码执行漏洞

漏洞编号：CVE-2024-38077

危害等级：严重

CVSS评分：9.8

漏洞类型：远程代码执行

影响范围：开启Windows Remote Desktop Licensing（RDL）Service 的Windows服务器

影响版本：

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

三、漏洞修复建议

1、腾讯云主机安全已支持检测，可前往主机安全控制台-漏洞管理发起一键扫描，确认影响资产。

https://console.cloud.tencent.com/cwp/app-vul

2、关闭RDL服务。

（1）使用如下命令行，先确认一下RDL服务是不是开启：

         sc query TermServLicensing

（2）使用如下命令行，先关闭RDL服务：

         sc stop TermServLicensing

3、采取微软官方解决方案及缓解措施。Windows系统默认启用 Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。对于不能自动更新的系统版本，可参考以下链接下载适用于该系统的补丁并安装：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077 

四、参考链接

https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2024-38077

https://github.com/CloudCrowSec001/CVE-2024-38077-POC/blob/main/CVE-2024-38077-poc.py