微软RDL远程代码执行超高危漏洞(CVE-2024-38077)漏洞检测排查方式
字数 810 2025-08-19 12:41:28

微软RDL远程代码执行超高危漏洞(CVE-2024-38077)检测与排查指南

漏洞概述

漏洞名称: 微软RDL远程代码执行超高危漏洞
CVE编号: CVE-2024-38077
CVSS评分: 9.8 (超高危)
影响范围: Windows Server 2000 到 Windows Server 2025 所有版本

漏洞描述

CVE-2024-38077是微软近期披露的一个极其严重的远程代码执行漏洞,存在于Windows远程桌面许可管理服务(RDL)中。该漏洞具有以下关键特征:

  1. 无需权限: 攻击者无需任何权限即可利用此漏洞
  2. 远程代码执行: 可导致攻击者获取服务器最高权限
  3. 根本原因: 在解码用户输入的许可密钥包时,未正确检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区溢出

影响服务

  • RDL服务: Windows远程桌面许可管理服务
  • 默认状态: 非默认安装,但许多管理员会手动开启

检测方法

使用Goby工具检测

Goby社区版检测步骤:

  1. 扫描准备:

    • 打开Goby社区版
    • 选择135端口进行资产扫描

  2. 资产检索:

    • 进入资产管理页面
    • 在135端口资产中,使用以下语法进行检索: 
      banner=3d267954-eeb7-11d1-b94e-00c04fa3080d
    • 检索结果将显示开启了RDL服务的主机

Goby红队版检测步骤:

  • 更新漏洞库至最新版本
  • 使用一键扫描功能探测漏洞

处置建议

  1. 立即更新:

    • 按照微软官方发布的补丁进行更新升级
    • 优先处理暴露在互联网上的服务器

  2. 临时缓解措施:

    • 如无法立即更新,考虑临时禁用RDL服务
    • 通过防火墙限制对135端口的访问

  3. 长期防护:

    • 建立定期漏洞扫描机制
    • 保持所有安全工具漏洞库的及时更新

注意事项

  1. 紧急程度:

    • 由于漏洞评分为9.8分(超高危),且影响范围广泛,应优先处理

  2. 服务状态确认:

    • 即使RDL服务不是默认安装,仍需全面排查,因为许多环境可能已手动启用

  3. 扫描覆盖:

    • 确保扫描覆盖所有Windows服务器资产,包括测试环境
微软RDL远程代码执行超高危漏洞(CVE-2024-38077)检测与排查指南 漏洞概述 漏洞名称 : 微软RDL远程代码执行超高危漏洞 CVE编号 : CVE-2024-38077 CVSS评分 : 9.8 (超高危) 影响范围 : Windows Server 2000 到 Windows Server 2025 所有版本 漏洞描述 CVE-2024-38077是微软近期披露的一个极其严重的远程代码执行漏洞,存在于Windows远程桌面许可管理服务(RDL)中。该漏洞具有以下关键特征: 无需权限 : 攻击者无需任何权限即可利用此漏洞 远程代码执行 : 可导致攻击者获取服务器最高权限 根本原因 : 在解码用户输入的许可密钥包时,未正确检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区溢出 影响服务 RDL服务 : Windows远程桌面许可管理服务 默认状态 : 非默认安装,但许多管理员会手动开启 检测方法 使用Goby工具检测 Goby社区版检测步骤: 扫描准备 : 打开Goby社区版 选择135端口进行资产扫描 资产检索 : 进入资产管理页面 在135端口资产中,使用以下语法进行检索: 检索结果将显示开启了RDL服务的主机 Goby红队版检测步骤: 更新漏洞库至最新版本 使用一键扫描功能探测漏洞 处置建议 立即更新 : 按照微软官方发布的补丁进行更新升级 优先处理暴露在互联网上的服务器 临时缓解措施 : 如无法立即更新,考虑临时禁用RDL服务 通过防火墙限制对135端口的访问 长期防护 : 建立定期漏洞扫描机制 保持所有安全工具漏洞库的及时更新 注意事项 紧急程度 : 由于漏洞评分为9.8分(超高危),且影响范围广泛,应优先处理 服务状态确认 : 即使RDL服务不是默认安装,仍需全面排查,因为许多环境可能已手动启用 扫描覆盖 : 确保扫描覆盖所有Windows服务器资产,包括测试环境