SAKURA最新番号 来事了——微软RDL职业汉典代码扩充缺陷

发布日期:2024-08-24 04:43    点击次数:174

SAKURA最新番号 来事了——微软RDL职业汉典代码扩充缺陷

1.1缺陷笃定SAKURA最新番号

1.1.1RDL

汉典桌面许可职业是 Windows Server 的一个组件,用于解决和颁发汉典桌面职业的许可证,确保对汉典应用程序和桌面的安全且合规的访谒。RDL 职业平庸部署在启用了汉典桌面职业的机器上。默许情况下,汉典桌面职业仅允许同期使用两个会话。要启用多个同期会话,您需要购买许可证。RDL 职业厚爱解决这多少可证。RDL 被平庸安设的另一个原因是,在Windows 职业器上安设汉典桌面职业 (3389) 时,解决员每每会勾选安设 RDL 的选项。这导致好多启用了 3389 的职业器也启用了 RDL 职业。现在不少于17万个活跃的RDL职业径直浮现在全球互联网上,而里面蕴蓄首的数目无疑要大得多。此外,RDL职业每每部署在关节业务系统和汉典桌面集群中,因此RDL职业中的预认证RCE缺陷对采集寰宇组成了首要挟制。

Windows 汉典桌面授权职业(RDL)是一个用于解决汉典桌面职业许可证的组件,确保对汉典桌面连合的正当性。该职业被平庸部署于开启了Windows汉典桌面职业(3389端口)的职业器上,但缺陷的期骗不是通过3389端口,需要先连合135端口发送访谒恳求,然后职业器给出一个连合RDL职业的动态高端口,再连合访谒,要是职业器对外不绽开135端口则弗成期骗。疑望:RDL职业并非默许启用,但出于扩张功能等认识,好多解决员会手动启用它,举例加多汉典桌面会话的数目。在一些特定的场景中,如堡垒机和云桌面VDI环境,RDL职业的启用亦然必需的。

图片

1.1.2缺陷情况

2024年7月9日,微软官方发布了一个针对“windows汉典桌面授权职业汉典代码扩充缺陷”(CVE-2024-38077)的竖立补丁包,最先并莫得引起众人的警醒。在海外某网站上疑似缺陷的作家公开了该缺陷的“POC考据代码”。一时激起千层浪,该缺陷启动猖獗发酵并在安全圈里转发。

该著述的原文连合为:

https://sites.google.com/site/zhiniangpeng/blogs/MadLicense

连合里也附上了缺陷考据视频:

https://www.youtube.com/watch?v=OSYOrRS2k4A&t=8s

Windows 汉典桌面授权职业汉典代码扩充缺陷(CVE-2024-38077),该缺陷存在于Windows汉典桌面许可解决职业(RDL)中,获顺利用该缺陷的波折者不错竣事汉典代码扩充,赢得策画系统的放置权,可能导致明锐数据的表示、以及可能的坏心软件传播。该缺陷影响总共启用 RDL 职业的 Windows Server职业器,十分是未实时更新 2024 年 7 月微软最新安全补丁的系统。

1.1.3 微软7月竖立RDP联系缺陷

1.2024年7月,咱们申报的以下7个与RDP联系的缺陷已被Microsoft竖立:

CVE-2024-38077:Windows 汉典桌面授权职业汉典代码扩充缺陷

CVE-2024-38076:Windows 汉典桌面授权职业汉典代码扩充缺陷

CVE-2024-38074:Windows 汉典桌面授权职业汉典代码扩充缺陷

CVE-2024-38073:Windows 汉典桌面许可职业拒却职业缺陷

CVE-2024-38072:Windows 汉典桌面授权职业拒却职业缺陷

CVE-2024-38071:Windows 汉典桌面许可职业拒却职业缺陷

CVE-2024-38015:Windows 汉典桌面网关(RD 网关)拒却职业缺陷

其中,Windows 汉典桌面授权职业中的 3 个 CVSS 评分为 9.8 的 RCE 缺陷值得原谅。

1.2缺陷排查1.2.1检讨是否安设ADL

在 Windows Server 上,您不错通过以下门径检讨是否启用了汉典桌面许可职业(Remote Desktop Licensing, RDL):

1. 检讨汉典桌面许可职业是否安设并运行

(1)大开“职业”解决器具

按 Windows + R 大开运行对话框,输入 services.msc 并按 Enter,查找汉典桌面许可职业。在“职业”列表中查找“Remote Desktop Licensing”职业(在某些版块中可能炫夸为“Remote Desktop Licensing”或访佛称呼)。说明该职业是否正在运行。要是职业的现象为“正在运行”,则暗意该职业已启用。

图片

2. 检讨汉典桌面许可解决器

大开汉典桌面许可解决器,按 Windows + R 大开运行对话框。输入 licmgr.exe 并按 Enter。这将大开汉典桌面许可解决器。在汉典桌面许可解决器中,检察“许可”部分,检讨是否有配置息争决的汉典桌面许可。说明是否依然配置了许可证职业器以及许可证的现象。

3. 使用“职业器解决器”

在“职业器解决器”中,遴荐“变装和功能”。检讨是否列出“汉典桌面职业”。要是汉典桌面职业安设了,可能会看到联系的变装和功能。检察“汉典桌面职业”变装。

图片

4. 使用 PowerShell

(1)大开 PowerShell(以解决员身份)

按 Windows + X,然后遴荐“Windows PowerShell (解决员)”(或“敕令教导符 (解决员)”)。

(2)运行以下 PowerShell 敕令来检察汉典桌面许可职业的现象

Get-Service -Name TermService

这将复返职业的现象。TermService 职业暗意汉典桌面职业,要是该职业正在运行,则标明汉典桌面功能已启用。

(3)检讨汉典桌面许可职业配置

运行以下敕令以赢得汉典桌面职业的配置:

Get-WmiObject Win32_Process | Where-Object { $_.Name -eq 'svchost.exe' } | Select-Object CommandLine

这将炫夸汉典桌面许可配置的详实信息,包括许可职业器和许可类型,要是莫得安设,则炫夸如下图信息所示。

1.2.2 通经过度进行排查

1.青藤云程度检察

青藤云主机程度检测中检讨svchost程度中是否包含“-k TSLicensing”。

2.Dos敕令下tasklist检察svchost加载的职业

tasklist /svc /fi 'imagename eq svchost.exe'

图片

3.通过wmic检察

wmic process where 'name='svchost.exe'' get commandline

概况径直用以下敕令检察,要是灵验率则解释开启了RDL职业。

wmic process where 'name='svchost.exe'' get commandline | find '-k TSLicensing'

图片

4.使用 PowerShell检讨svchost程度

Get-WmiObject Win32_Process | Where-Object { $_.Name -eq 'svchost.exe' } | Select-Object CommandLine

图片

1.3缺陷竖立1.3.1赢得系统现时信息及版块

1.通过systeminfo 赢适合前系统的版块

图片

1.3.2 微软官方查询

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

图片

激情文学小说网1.3.3下载对应版块的程序

图片

https://catalog.s.download.windowsupdate.com/c/msdownload/update/software/secu/2024/07/windows6.1-kb5040498-x64_71ee53540b4244e86bd799297fb410595199b38a.msu

1.3.4扩充更新

1.由于不存在该缺陷无法扩充更新

(1)扩充msu失败

图片

(2)敕令行下更新

wusa path\to\yourfile.msu

图片

2.存在缺陷的选用Windows自动更新

Windows系统默许启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并不才一次启动时安设。还可通过以下智商快速安设更新:

(1)点击“启动菜单”或按Windows快捷键,点击参预“建树”

(2)遴荐“更新和安全”,参预“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过放置面板参预“Windows更新”,智商为“放置面板”-> “系统和安全”->“Windows更新”)

(3)遴荐“检讨更新”,恭候系统将自动检讨并下载可用更新

(4)重启筹画机,安设更新

系统重新启动后,可通过参预“Windows更新”->“检察更新历史纪录”检察是否顺利安设了更新。关于莫得顺利安设的更新,不错点击该更新称呼参预微软官方更新描绘连合,点击最新的SSU称呼并在新连合中点击“Microsoft 更新目次”,然后在新连合中遴荐适用于策画系统的补丁进行下载并安设。

1.3.5奇安信检测器具

奇安信推出了一款缺陷检测器具,详实请参考著述https://mp.weixin.qq.com/s/adcmX5b1fH9ouUlxf0RXFg。其中枢旨趣是对策画windows职业器的135端口进行测绘赢得banner信息,并对banner信息进行查询是否包含UUID=” 3d267954-eeb7-11d1-b94e-00c04fa3080d”。

图片

Linux平台检测:

Kali系统自带impacket-rpcdump库,径直在shell中扩充如下敕令:

impacket-rpcdump 192.168.147.233 | grep '3D267954-EEB7-11D1-B94E-00C04FA3080D'

十分疑望:

网上提供的一些所谓poc期骗和缺陷检测SAKURA最新番号,一定严防,有些皆是系缚木马后门的。别轻信!!!

本站仅提供存储职业,总共试验均由用户发布,如发现存害或侵权试验,请点击举报。

栏目分类



Powered by 彩虹小马 @2013-2022 RSS地图 HTML地图

Copyright Powered by站群 © 2013-2022 版权所有