1.1缺陷笃定SAKURA最新番号

1.1.1RDL

汉典桌面许可职业是 Windows Server 的一个组件，用于解决和颁发汉典桌面职业的许可证，确保对汉典应用程序和桌面的安全且合规的访谒。RDL 职业平庸部署在启用了汉典桌面职业的机器上。默许情况下，汉典桌面职业仅允许同期使用两个会话。要启用多个同期会话，您需要购买许可证。RDL 职业厚爱解决这多少可证。RDL 被平庸安设的另一个原因是，在Windows 职业器上安设汉典桌面职业 (3389) 时，解决员每每会勾选安设 RDL 的选项。这导致好多启用了 3389 的职业器也启用了 RDL 职业。现在不少于17万个活跃的RDL职业径直浮现在全球互联网上，而里面蕴蓄首的数目无疑要大得多。此外，RDL职业每每部署在关节业务系统和汉典桌面集群中，因此RDL职业中的预认证RCE缺陷对采集寰宇组成了首要挟制。

Windows 汉典桌面授权职业（RDL）是一个用于解决汉典桌面职业许可证的组件，确保对汉典桌面连合的正当性。该职业被平庸部署于开启了Windows汉典桌面职业（3389端口）的职业器上，但缺陷的期骗不是通过3389端口，需要先连合135端口发送访谒恳求，然后职业器给出一个连合RDL职业的动态高端口，再连合访谒，要是职业器对外不绽开135端口则弗成期骗。疑望：RDL职业并非默许启用，但出于扩张功能等认识，好多解决员会手动启用它，举例加多汉典桌面会话的数目。在一些特定的场景中，如堡垒机和云桌面VDI环境，RDL职业的启用亦然必需的。

图片

1.1.2缺陷情况

2024年7月9日，微软官方发布了一个针对“windows汉典桌面授权职业汉典代码扩充缺陷”（CVE-2024-38077）的竖立补丁包，最先并莫得引起众人的警醒。在海外某网站上疑似缺陷的作家公开了该缺陷的“POC考据代码”。一时激起千层浪，该缺陷启动猖獗发酵并在安全圈里转发。

该著述的原文连合为：

https://sites.google.com/site/zhiniangpeng/blogs/MadLicense

连合里也附上了缺陷考据视频：

https://www.youtube.com/watch?v=OSYOrRS2k4A&t=8s

Windows 汉典桌面授权职业汉典代码扩充缺陷(CVE-2024-38077)，该缺陷存在于Windows汉典桌面许可解决职业（RDL）中，获顺利用该缺陷的波折者不错竣事汉典代码扩充，赢得策画系统的放置权，可能导致明锐数据的表示、以及可能的坏心软件传播。该缺陷影响总共启用 RDL 职业的 Windows Server职业器，十分是未实时更新 2024 年 7 月微软最新安全补丁的系统。

1.1.3 微软7月竖立RDP联系缺陷

1.2024年7月，咱们申报的以下7个与RDP联系的缺陷已被Microsoft竖立：

CVE-2024-38077：Windows 汉典桌面授权职业汉典代码扩充缺陷

CVE-2024-38076：Windows 汉典桌面授权职业汉典代码扩充缺陷

CVE-2024-38074：Windows 汉典桌面授权职业汉典代码扩充缺陷

CVE-2024-38073：Windows 汉典桌面许可职业拒却职业缺陷

CVE-2024-38072：Windows 汉典桌面授权职业拒却职业缺陷

CVE-2024-38071：Windows 汉典桌面许可职业拒却职业缺陷

CVE-2024-38015：Windows 汉典桌面网关（RD 网关）拒却职业缺陷

其中，Windows 汉典桌面授权职业中的 3 个 CVSS 评分为 9.8 的 RCE 缺陷值得原谅。

1.2缺陷排查1.2.1检讨是否安设ADL

在 Windows Server 上，您不错通过以下门径检讨是否启用了汉典桌面许可职业（Remote Desktop Licensing， RDL）：

1. 检讨汉典桌面许可职业是否安设并运行

（1）大开“职业”解决器具

按 Windows + R 大开运行对话框，输入 services.msc 并按 Enter，查找汉典桌面许可职业。在“职业”列表中查找“Remote Desktop Licensing”职业（在某些版块中可能炫夸为“Remote Desktop Licensing”或访佛称呼）。说明该职业是否正在运行。要是职业的现象为“正在运行”，则暗意该职业已启用。

图片

2. 检讨汉典桌面许可解决器

大开汉典桌面许可解决器，按 Windows + R 大开运行对话框。输入 licmgr.exe 并按 Enter。这将大开汉典桌面许可解决器。在汉典桌面许可解决器中，检察“许可”部分，检讨是否有配置息争决的汉典桌面许可。说明是否依然配置了许可证职业器以及许可证的现象。

3. 使用“职业器解决器”

在“职业器解决器”中，遴荐“变装和功能”。检讨是否列出“汉典桌面职业”。要是汉典桌面职业安设了，可能会看到联系的变装和功能。检察“汉典桌面职业”变装。

图片

4. 使用 PowerShell

（1）大开 PowerShell（以解决员身份）

按 Windows + X，然后遴荐“Windows PowerShell (解决员)”（或“敕令教导符 (解决员)”）。

（2）运行以下 PowerShell 敕令来检察汉典桌面许可职业的现象

Get-Service -Name TermService

这将复返职业的现象。TermService 职业暗意汉典桌面职业，要是该职业正在运行，则标明汉典桌面功能已启用。

（3）检讨汉典桌面许可职业配置

运行以下敕令以赢得汉典桌面职业的配置：

Get-WmiObject Win32_Process | Where-Object { $_.Name -eq 'svchost.exe' } | Select-Object CommandLine

这将炫夸汉典桌面许可配置的详实信息，包括许可职业器和许可类型，要是莫得安设，则炫夸如下图信息所示。

1.2.2 通经过度进行排查

1.青藤云程度检察

青藤云主机程度检测中检讨svchost程度中是否包含“-k TSLicensing”。

2.Dos敕令下tasklist检察svchost加载的职业

tasklist /svc /fi 'imagename eq svchost.exe'

图片

3.通过wmic检察

wmic process where 'name='svchost.exe'' get commandline

概况径直用以下敕令检察，要是灵验率则解释开启了RDL职业。

wmic process where 'name='svchost.exe'' get commandline | find '-k TSLicensing'

图片

4.使用 PowerShell检讨svchost程度

Get-WmiObject Win32_Process | Where-Object { $_.Name -eq 'svchost.exe' } | Select-Object CommandLine

图片

1.3缺陷竖立1.3.1赢得系统现时信息及版块

1.通过systeminfo 赢适合前系统的版块

图片

1.3.2 微软官方查询

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

图片

激情文学小说网1.3.3下载对应版块的程序

图片

https://catalog.s.download.windowsupdate.com/c/msdownload/update/software/secu/2024/07/windows6.1-kb5040498-x64_71ee53540b4244e86bd799297fb410595199b38a.msu

1.3.4扩充更新

1.由于不存在该缺陷无法扩充更新

（1）扩充msu失败

图片

（2）敕令行下更新

wusa path\to\yourfile.msu

图片

2.存在缺陷的选用Windows自动更新

Windows系统默许启用 Microsoft Update，当检测到可用更新时，将会自动下载更新并不才一次启动时安设。还可通过以下智商快速安设更新：

（1）点击“启动菜单”或按Windows快捷键，点击参预“建树”

（2）遴荐“更新和安全”，参预“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过放置面板参预“Windows更新”，智商为“放置面板”-> “系统和安全”->“Windows更新”）

（3）遴荐“检讨更新”，恭候系统将自动检讨并下载可用更新

（4）重启筹画机，安设更新

系统重新启动后，可通过参预“Windows更新”->“检察更新历史纪录”检察是否顺利安设了更新。关于莫得顺利安设的更新，不错点击该更新称呼参预微软官方更新描绘连合，点击最新的SSU称呼并在新连合中点击“Microsoft 更新目次”，然后在新连合中遴荐适用于策画系统的补丁进行下载并安设。

1.3.5奇安信检测器具

奇安信推出了一款缺陷检测器具，详实请参考著述https://mp.weixin.qq.com/s/adcmX5b1fH9ouUlxf0RXFg。其中枢旨趣是对策画windows职业器的135端口进行测绘赢得banner信息，并对banner信息进行查询是否包含UUID=” 3d267954-eeb7-11d1-b94e-00c04fa3080d”。

图片

Linux平台检测：

Kali系统自带impacket-rpcdump库，径直在shell中扩充如下敕令：

impacket-rpcdump 192.168.147.233 | grep '3D267954-EEB7-11D1-B94E-00C04FA3080D'

十分疑望：

网上提供的一些所谓poc期骗和缺陷检测SAKURA最新番号，一定严防，有些皆是系缚木马后门的。别轻信！！！

本站仅提供存储职业，总共试验均由用户发布，如发现存害或侵权试验，请点击举报。