繼微軟藍(lán)屏事件之后,Windows Server遠(yuǎn)程桌面授權(quán)服務(wù)(RDL)遠(yuǎn)程代碼執(zhí)行漏洞這幾天又火起來(lái)了,各大網(wǎng)絡(luò)安全公司和安全自媒體都在宣傳該漏洞的危害,事實(shí)上影響范圍真有那么廣嗎?影響程度有那么深嗎?
首先我們要理解RDP、RDS、RDL三個(gè)概念,RDP是微軟公司發(fā)明的遠(yuǎn)程桌面協(xié)議并內(nèi)置windows系統(tǒng)中;RDS可以說(shuō)成是RDP升級(jí)版本的遠(yuǎn)程桌面服務(wù);RDL是遠(yuǎn)程桌面授權(quán),可管理連接到遠(yuǎn)程桌面會(huì)話主機(jī)服務(wù)器或虛擬桌面所需的許可證,可以使用RDL來(lái)安裝、頒發(fā)許可證,以及跟蹤許可證的可用性。
一、遠(yuǎn)程桌面授權(quán)RDL介紹
Windows Server系統(tǒng)默認(rèn)遠(yuǎn)程桌面連接數(shù)是2個(gè)用戶,如果多于2個(gè)用戶進(jìn)行遠(yuǎn)程桌面連接時(shí),系統(tǒng)就會(huì)提示超過連接數(shù),但可以通過配置遠(yuǎn)程桌面服務(wù)并確保許可證和授權(quán)允許多用戶連接的方法來(lái)解決,通過配置之后,多于2個(gè)用戶的可以使用120天,超過120天,就需要購(gòu)買許可。以Windows Server 2022為例,如下圖所示:
1.安裝遠(yuǎn)程桌面授權(quán)
2.安裝許可證之后,支持2個(gè)以上用戶,免費(fèi)使用120天。
3.免費(fèi)使用120天之后,需要購(gòu)買許可。
二、漏洞影響情況
Windows Server遠(yuǎn)程桌面授權(quán)服務(wù)(RDL)遠(yuǎn)程代碼執(zhí)行漏洞主要涉及CVE-2024-38077、CVE-2024-38074和CVE-2024-38076這三個(gè)漏洞,CVE-2024-38077漏洞涉及15個(gè)產(chǎn)品,CVE-2024-38074漏洞涉及12個(gè)產(chǎn)品,CVE-2024-38076涉及6個(gè)產(chǎn)品。所有涉及的產(chǎn)品、平臺(tái)、版本如下所示:
序號(hào) | 產(chǎn)品 | 平臺(tái) | 版本 |
1 | Windows Server 2019 | x64 | 10.0.0至10.0.17763.6054 |
2 | Windows Server 2019 (Server Core installation) | x64 | 10.0.0至10.0.17763.6054 |
3 | Windows Server 2022 | x64 | 10.0.0至10.0.20348.2582 |
4 | Windows Server 2022, 23H2 Edition (Server Core installation) | x64 | 10.0.0至10.0.25398.1009 |
5 | Windows Server 2016 | x64 | 10.0.0至10.0.14393.7159 |
6 | Windows Server 2016 (Server Core installation) | x64 | 10.0.0至10.0.14393.7159 |
7 | Windows Server 2008 Service Pack 2 | 32 | 6.0.0至6.0.6003.22769 |
8 | Windows Server 2008 Service Pack 2 (Server Core installation) | 32或x64 | 6.0.0至6.0.6003.22769 |
9 | Windows Server 2008 Service Pack 2 | x64 | 6.0.0至6.0.6003.22769 |
10 | Windows Server 2008 R2 Service Pack 1 | x64 | 6.1.0至6.1.7601.27219 |
11 | Windows Server 2008 R2 Service Pack 1 (Server Core installation) | x64 | 6.0.0至6.1.7601.27219 |
12 | Windows Server 2012 | x64 | 6.2.0至6.2.9200.24975 |
13 | Windows Server 2012 (Server Core installation) | x64 | 6.2.0至6.2.9200.24975 |
14 | Windows Server 2012 R2 | x64 | 6.3.0至6.3.9600.22074 |
15 | Windows Server 2012 R2 (Server Core installation) | x64 | 6.3.0至6.3.9600.22074 |
以上涉及的3個(gè)漏洞的CVSS評(píng)分均為9.8,詳情如下所示,漏洞評(píng)分只是表明漏洞的嚴(yán)重程度,但并不能說(shuō)明面臨的威脅和風(fēng)險(xiǎn)。
如果發(fā)現(xiàn)以上產(chǎn)品及版本,并安裝了RDL且啟動(dòng)了RDL的服務(wù),均有可能被利用成功。
三、緩解措施
1.關(guān)閉RDL服務(wù),不需要關(guān)閉RDS服務(wù)。
2.使用堡壘機(jī)進(jìn)行遠(yuǎn)程運(yùn)維。
四、修復(fù)措施
根據(jù)微軟MSRC發(fā)布的信息進(jìn)行補(bǔ)丁升級(jí)。鏈接如下所示:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38074
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38076
五、總結(jié)
這個(gè)漏洞已經(jīng)公布將近一個(gè)月了,總體來(lái)說(shuō)危害不大,但是被國(guó)內(nèi)炒作得很嚇人,很多媒體斷章取義,導(dǎo)致很多人以為是RDP/RDS的漏洞,其實(shí)是遠(yuǎn)程桌面授權(quán)RDL服務(wù)漏洞。遇到這種情況,還是建議去CVE官網(wǎng)和微軟MSRC了解漏洞的來(lái)龍去脈,不能人云亦云。同時(shí)也應(yīng)當(dāng)以專業(yè)的角度給客戶做好檢查和解釋,只有這樣才能體現(xiàn)專業(yè)性。
該文章在 2024/8/19 18:52:03 編輯過
400 186 1886
