优发国际网站官网

首页 > 清静研究 > 清静转达 > 清静事务响应

微软超高危误差“狂躁允许”来袭！优发国际网站官网提供解决计划

宣布时间 2024-08-11

克日，优发国际网站官网监测到Windows远程桌面允许服务远程代码执行误差（CVE-2024-38077）相关信息。该误差影响所有启用 RDL 服务的 Windows Server服务器，未经身份认证的攻击者可使用该误差远程执行代码，获取服务器控制权限。现在，该误差的手艺原理和POC伪代码已果真。鉴于此误差影响规模较大，建议尽快做好自查及防护。

误差详情

2024年07月09日，微软官方修补了一个保存于Windows远程桌面授权服务中的远程代码执行误差（CVE-2024-38077）。Windows 远程桌面授权服务（RDL）是用于治理远程桌面(RDP)的主要组件，其通过治理和分派允许证来控制和监控远程毗连的正当性。

经由研究确认，该误差是由于RDL服务未准确校验用户输入数据，导致在剖析时爆发溢出，攻击者可以在未经由身份验证的情形下，通过向开启RDL服务的主机发送相关远程挪用来完成误差使用。乐成使用该误差即可实现远程代码执行，从而导致敏感数据的泄露，以及可能的恶意软件撒播。该误差险些影响所有Windows Server版本。

图片1.png

误差复现

图片2.png

解决计划

一、官方修复计划

官方已宣布清静更新，建议将受影响的Windows升级至最新版本：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

二、暂时修复计划

该服务默认未装置，如没有相关营业需求，可以关闭Remote Desktop Licensing服务。

三、优发国际网站官网解决计划

1、优发国际网站官网检测与防护类产品计划

（1）优发国际网站官网“天阗威胁剖析一体机（TAR）”升级到20240810版本即可支持检测该误差。

图片3.png

（2）优发国际网站官网 “天阗超融合检测探针（CSP）” 升级到20240810版本即可支持检测该误差。

图片4.png

（3）优发国际网站官网“天清入侵防御系统（IPS）”升级到20240810版本即可支持防护该误差。

图片5.png

2、优发国际网站官网漏扫产品计划

（1）“优发国际网站官网天镜懦弱性扫描与治理系统”6075版本已紧迫宣布针对该误差的升级包，支持对该误差举行扫描，用户升级标准误差库后即可对该误差举行扫描：

6070版本升级包为607000581-607000582.vup，升级包下载地点：https://venustech.download.venuscloud.cn/

图片6.jpg

（2）优发国际网站官网天镜懦弱性扫描与治理系统608X系列版本已紧迫宣布针对该误差的升级包，支持对该误差举行扫描，用户升级标准误差库后即可对该误差举行扫描：

6080版本升级包为主机插件包6080000130-S6080000131.svs漏扫插件包下载地点：

https://venustech.download.venuscloud.cn/

图片7.jpg

（3）通过优发国际网站官网天镜懦弱性扫描与治理系统的设置核查�？槎愿梦蟛钣跋斓腤indows版本举行获取，使用智能化剖析研判机制验证该误差是否保存，若是保存该误差建议更新到清静版本。

请使用优发国际网站官网天镜懦弱性扫描与治理系统产品的用户尽快升级到最新版本，实时对该误差举行检测，以便尽快接纳提防步伐。

3、优发国际网站官网资产与懦弱性治理平台产品计划

优发国际网站官网资产与懦弱性治理平台实时收罗并更新情报信息，对入库资产误差Windows远程桌面授权服务远程代码执行误差（CVE-2024-38077）举行治理。

图片8.jpg

4、优发国际网站官网清静治理和态势感知平台产品计划

用户可以通过泰合清静治理和态势感知平台，举行关联战略设置，团结现真相形中系统日志和清静装备的告警信息举行一连监控，从而发明“Windows远程桌面授权服务远程代码执行”的误差使用攻击行为。

（1）通过懦弱性发明功效针对“Windows远程桌面授权服务远程代码执行误差（CVE-2024-38077）”误差扫描使命，排查治理网络中受此误差影响的主要资产。

图片9.png

（2）平台“关联剖析”�？橹�，添加“L2_Windows远程桌面授权服务远程代码执行误差”，通过优发国际网站官网检测装备、目的主机系统等装备的告警日志，发明外部攻击行为：

图片10.png

通太过析规则自动将L2_Windows远程桌面授权服务远程代码执行误差使用的可疑行为源地点添加到视察列表“高危害毗连”中，作为内部情报数据使用；

（3）添加“L3_Windows远程桌面授权服务远程代码执行误差使用乐成”，条件日志名称即是或包括“L2_Windows远程桌面授权服务远程代码执行误差使用”，攻击效果即是“攻击乐成”，目的地点引用资产误差或源地点匹配威胁情报，从而提升关联规则的置信度。

图片11.png

（4）凭证对CVE-2024-38077误差的攻击使用历程举行剖析，攻击链涉及多个ATT&CK战术和手艺阶段，笼罩的TTP包括：

TA0001初始会见：T1190使用面向公众的应用程序

TA0002执行：T1059下令和剧本诠释器

TA0004权限提升：T1548滥用提权控制机制

TA0010数据外泄：T1041数据通过C2通道外泄

图片12.png

通过泰合清静治理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置惩罚能力，针对该误差使用的告警事务编排剧本，举行自动化处置惩罚。

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 优发国际网站官网版权所有京ICP备05032414号京公网安备11010802024551号