آسیب‌پذیری CVE-2024-38077

معرفی اکسپلویت

  • پلتفرم آسیب‌پذیر: Windows Server
  • نسخه‌های آسیب‌پذیر: نسخه‌های 2000 تا 2025
  • تاریخ ارائه وصله امنیتی: 19 تیر 1403
  • نوع آسیب‌پذیری: Remote Code Execution
  • درجه خطر(CVSSv3): حیاتی با امتیاز 9.8
  • وضعیت استفاده:‌  انتشار PoC

توضیحات فنی

آسیب­‌پذیری با شناسه CVE-2024-38077، یک نقص امنیتی مهم در سرویس Remote Desktop Licensing ویندوز است. این آسیب‌پذیری به‌ عنوان نقص اجرای کد از راه دور (RCE) طبقه‌بندی می‌شود، به این معنا که یک مهاجم می‌تواند کد دلخواه را روی یک سیستم آسیب‌پذیر بدون نیاز به اعتبارسنجی اجرا کند.

Remote Desktop Licensing یا RDL بخشی از مولفه Remote Desktop Services است که توزیع و ردیابی مجوزهای دسترسی کاربران را مدیریت می‌کند. این مجوزها برای اتصال کاربران یا دستگاه­ها به سرور میزبانِ جلسه‌ي Remote Desktop مورد نیاز است.

نسخه‌های آسیب‌پذیر

این آسیب‌پذیری نسخه‌های 2000 تا 2025 از Windows Server را تحت تأثیر قرار می‌دهد. تشخیص فعال یا غیرفعال بودن سرویس RDL بر روی سیستم با استفاده از دستور Powershell زیر امکان‌پذیر است:

Get-WindowsFeature -Name RDS-Licensing

جزئیات آسیب‌پذیری

این آسیب‌پذیری که با نام MadLicense نیز شناخته می‌شود، دارای امتیاز CVSS 9.8 است و با درجه خطر حیاتی است. این حمله یک روش پیچیده برای تزریق یک DLL مخرب به سیستم قربانی از طریق پروتکل SMB است. این آسیب‌پذیری از سرریز بافر مبتنی بر پشته (heap-based) ناشی می‌شود. این امر زمانی اتفاق می‌افتد که سرویس Remote Desktop Licensing ویندوز به‌ درستی داده‌­های ورودی‌ خاص را مدیریت نمی‌کند که منجر به خراب شدن حافظه می‌شود.

نفوذگر می‌تواند درخواست‌های طراحی‌ شده ویژه‌ای را برای سرویس آسیب‌پذیر ارسال کند و این امر منجر به ایجاد دسترسی اجرای کد دلخواه از راه دور (RCE) شود. این نقص امکان دستیابی به کنترل کامل سیستم آسیب دیده را برای مهاجمان فراهم می‌سازد که می­‌تواند پیامدهایی مانند سرقت داده‌ها، به خطر انداختن سیستم یا منع سرویس (DOS) در بر داشته‌ باشد.

نحوه وصله آسیب‌پذیری

بهترین راهکار جهت برطرف کردن این آسیب‌پذیری اعمال وصله‌­های منتشر شده در تاریخ 19 تیر 1403، از طریق لینک زیر است:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

به منظور مقابله با تهدیدات احتمالی و جهت حصول اطمینان از امنیت سیستم خود توصیه می‌شود ضمن نصب آنتی‌ویروس پادویش، قبل از اعمال وصله‌های منتشر شده، بلافاصله اقدامات کاهش دهنده خطر را که شامل موارد زیر است انجام دهید:

  • در صورت عدم نیاز به سرویس Remote Desktop Licensing آن را غیرفعال نمایید.
  • جهت محدودسازی دسترسی غیرمجاز و حرکت جانبی، تقسیم‌بندی شبکه را اعمال کنید.