首页 > 安全研究 > 安全通报 > 安全事件响应

微软超高危漏洞“狂躁许可”来袭!澳门新莆京游戏大厅提供解决方案

发布时间 2024-08-11

近日,澳门新莆京游戏大厅监测到Windows远程桌面许可服务远程代码执行漏洞(CVE-2024-38077)相关信息。该漏洞影响所有启用 RDL 服务的 Windows Server服务器,未经身份认证的攻击者可利用该漏洞远程执行代码,获取服务器控制权限。目前,该漏洞的技术原理和POC伪代码已公开。鉴于此漏洞影响范围较大,建议尽快做好自查及防护。


漏洞详情


2024年07月09日,微软官方修补了一个存在于Windows远程桌面授权服务中的远程代码执行漏洞(CVE-2024-38077)。Windows 远程桌面授权服务(RDL)是用于管理远程桌面(RDP)的重要组件,其通过管理和分配许可证来控制和监控远程连接的合法性。


经过研究确认,该漏洞是由于RDL服务未正确校验用户输入数据,导致在解析时产生溢出,攻击者可以在未经过身份验证的情况下,通过向开启RDL服务的主机发送相关远程调用来完成漏洞利用。成功利用该漏洞即可实现远程代码执行,从而导致敏感数据的泄露,以及可能的恶意软件传播。该漏洞几乎影响所有Windows Server版本。


图片1.png


漏洞复现


图片2.png


解决方案


一、官方修复方案


官方已发布安全更新,建议将受影响的Windows升级至最新版本: 

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077


二、临时修复方案


该服务默认未安装,如没有相关业务需求,可以关闭Remote Desktop Licensing服务。


三、澳门新莆京游戏大厅解决方案


1、澳门新莆京游戏大厅检测与防护类产品方案


(1)澳门新莆京游戏大厅“天阗威胁分析一体机(TAR)”升级到20240810版本即可支持检测该漏洞。


图片3.png


(2)澳门新莆京游戏大厅 “天阗超融合检测探针(CSP)” 升级到20240810版本即可支持检测该漏洞。


图片4.png


(3)澳门新莆京游戏大厅“天清入侵防御系统(IPS)”升级到20240810版本即可支持防护该漏洞。


图片5.png


2、澳门新莆京游戏大厅漏扫产品方案


(1)“澳门新莆京游戏大厅天镜脆弱性扫描与管理系统”6075版本已紧急发布针对该漏洞的升级包,支持对该漏洞进行扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:


6070版本升级包为607000581-607000582.vup,升级包下载地址:https://venustech.download.venuscloud.cn/


图片6.jpg


(2)澳门新莆京游戏大厅天镜脆弱性扫描与管理系统608X系列版本已紧急发布针对该漏洞的升级包,支持对该漏洞进行扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:


6080版本升级包为主机插件包6080000130-S6080000131.svs漏扫插件包下载地址:

https://venustech.download.venuscloud.cn/

图片7.jpg


(3)通过澳门新莆京游戏大厅天镜脆弱性扫描与管理系统的配置核查模块对该漏洞影响的Windows版本进行获取,使用智能化分析研判机制验证该漏洞是否存在,如果存在该漏洞建议更新到安全版本。


请使用澳门新莆京游戏大厅天镜脆弱性扫描与管理系统产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。


3、澳门新莆京游戏大厅资产与脆弱性管理平台产品方案


澳门新莆京游戏大厅资产与脆弱性管理平台实时采集并更新情报信息,对入库资产漏洞Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)进行管理。 


图片8.jpg


4、澳门新莆京游戏大厅安全管理和态势感知平台产品方案


用户可以通过泰合安全管理和态势感知平台,进行关联策略配置,结合实际环境中系统日志和安全设备的告警信息进行持续监控,从而发现“Windows远程桌面授权服务远程代码执行”的漏洞利用攻击行为。


(1)通过脆弱性发现功能针对“Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)”漏洞扫描任务,排查管理网络中受此漏洞影响的重要资产。


图片9.png


(2)平台“关联分析”模块中,添加“L2_Windows远程桌面授权服务远程代码执行漏洞”,通过澳门新莆京游戏大厅检测设备、目标主机系统等设备的告警日志,发现外部攻击行为:


图片10.png


通过分析规则自动将L2_Windows远程桌面授权服务远程代码执行漏洞利用的可疑行为源地址添加到观察列表“高风险连接”中,作为内部情报数据使用;


(3)添加“L3_Windows远程桌面授权服务远程代码执行漏洞利用成功”,条件日志名称等于或包含“L2_Windows远程桌面授权服务远程代码执行漏洞利用”,攻击结果等于“攻击成功”,目的地址引用资产漏洞或源地址匹配威胁情报,从而提升关联规则的置信度。


图片11.png


(4)根据对CVE-2024-38077漏洞的攻击利用过程进行分析,攻击链涉及多个ATT&CK战术和技术阶段,覆盖的TTP包括:


TA0001初始访问:T1190利用面向公众的应用程序

TA0002执行:T1059命令和脚本解释器

TA0004权限提升:T1548滥用提权控制机制

TA0010数据外泄:T1041数据通过C2通道外泄


图片12.png


通过泰合安全管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力,针对该漏洞利用的告警事件编排剧本,进行自动化处置。

上一篇 下一篇