概述:
微软最新公布可影响Windows Server 2000到Windows Server 2025所有版本的远程代码执行高危漏洞CVE-2024-38077,该漏洞无需任何权限即可RCE。
漏洞详情:
漏洞作者已经发布分析文章第一篇: https://sites.google.com/site/zhiniangpeng/blogs/MadLicense
微软官方:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
基本信息:
国外网站上公开了微软Windows操作系统一个高危漏洞(CVE-2024-38077)的详情和概念验证代码。经分析确认,该漏洞获得CVSS 9.8的评分,是Windows平台近十年来罕见的可以稳定利用、影响广泛的远程零点击(Zero-Click)/认证前(Pre-Auth) 漏洞。研究人员针对该漏洞放出了稳定利用的验证视频并表示,这种漏洞已多年未曾出现。
由于漏洞涉及远程桌面授权服务(Remote Desktop License Service),研究者将其命名为MadLicense(狂躁许可),并表示还将进一步公开披露更多类似漏洞。
影响范围:
该漏洞影响范围广泛,涉及Windows 2000后所有Windows服务器操作系统:包括广泛使用的Windows Server 2008 R2/2012/2016,甚至波及微软内部预览版本:提供了“下一代安全技术”的Windows Server 2025系统。
通过该漏洞,攻击者只须针对开启了相关服务的服务器发送特制数据包,即可完全控制目标系统,获得最高的SYSTEM权限,实现“低门槛、高回报”的攻击效果。上一个有如此影响力的Windows远程漏洞可能要追溯到2019年的BlueKeep(CVE-2019-0708)漏洞,相较BlueKeep,MadLicense的稳定性更高,且不受网络级身份验证(Network Level Authentication,NLA)的影响。
研究人员的全网扫描结果显示,公网上至少有17万台活跃的Windows服务器开启了相关服务,而内网中受影响的服务器数量可能更多。鉴于该漏洞已有成熟稳定的利用证明和公开的验证代码,我们预计攻击者可能迅速开发出完整的漏洞利用方案。更令人担忧的是,这可能引发类似"永恒之蓝"的蠕虫级攻击,导致大规模网络安全威胁