معرفی اکسپلویت
- پلتفرم آسیبپذیر: Windows Server
- نسخههای آسیبپذیر: نسخههای 2000 تا 2025
- تاریخ ارائه وصله امنیتی: 19 تیر 1403
- نوع آسیبپذیری: Remote Code Execution
- درجه خطر(CVSSv3): حیاتی با امتیاز 9.8
- وضعیت استفاده: انتشار PoC
توضیحات فنی
آسیبپذیری با شناسه CVE-2024-38077، یک نقص امنیتی مهم در سرویس Remote Desktop Licensing ویندوز است. این آسیبپذیری به عنوان نقص اجرای کد از راه دور (RCE) طبقهبندی میشود، به این معنا که یک مهاجم میتواند کد دلخواه را روی یک سیستم آسیبپذیر بدون نیاز به اعتبارسنجی اجرا کند.
Remote Desktop Licensing یا RDL بخشی از مولفه Remote Desktop Services است که توزیع و ردیابی مجوزهای دسترسی کاربران را مدیریت میکند. این مجوزها برای اتصال کاربران یا دستگاهها به سرور میزبانِ جلسهي Remote Desktop مورد نیاز است.
نسخههای آسیبپذیر
این آسیبپذیری نسخههای 2000 تا 2025 از Windows Server را تحت تأثیر قرار میدهد. تشخیص فعال یا غیرفعال بودن سرویس RDL بر روی سیستم با استفاده از دستور Powershell زیر امکانپذیر است:
Get-WindowsFeature -Name RDS-Licensing
جزئیات آسیبپذیری
این آسیبپذیری که با نام MadLicense نیز شناخته میشود، دارای امتیاز CVSS 9.8 است و با درجه خطر حیاتی است. این حمله یک روش پیچیده برای تزریق یک DLL مخرب به سیستم قربانی از طریق پروتکل SMB است. این آسیبپذیری از سرریز بافر مبتنی بر پشته (heap-based) ناشی میشود. این امر زمانی اتفاق میافتد که سرویس Remote Desktop Licensing ویندوز به درستی دادههای ورودی خاص را مدیریت نمیکند که منجر به خراب شدن حافظه میشود.
نفوذگر میتواند درخواستهای طراحی شده ویژهای را برای سرویس آسیبپذیر ارسال کند و این امر منجر به ایجاد دسترسی اجرای کد دلخواه از راه دور (RCE) شود. این نقص امکان دستیابی به کنترل کامل سیستم آسیب دیده را برای مهاجمان فراهم میسازد که میتواند پیامدهایی مانند سرقت دادهها، به خطر انداختن سیستم یا منع سرویس (DOS) در بر داشته باشد.
نحوه وصله آسیبپذیری
بهترین راهکار جهت برطرف کردن این آسیبپذیری اعمال وصلههای منتشر شده در تاریخ 19 تیر 1403، از طریق لینک زیر است:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
به منظور مقابله با تهدیدات احتمالی و جهت حصول اطمینان از امنیت سیستم خود توصیه میشود ضمن نصب آنتیویروس پادویش، قبل از اعمال وصلههای منتشر شده، بلافاصله اقدامات کاهش دهنده خطر را که شامل موارد زیر است انجام دهید:
- در صورت عدم نیاز به سرویس Remote Desktop Licensing آن را غیرفعال نمایید.
- جهت محدودسازی دسترسی غیرمجاز و حرکت جانبی، تقسیمبندی شبکه را اعمال کنید.