Zum Inhalt springen
Einblicke für Analysten: Laden Sie noch heute Ihr Exemplar des Gartner® Hype Cycle™ for Security Operations, 2024 Reports herunter! | Bericht abrufen
Beratung

12. August 2024 Hinweis: Windows-Remotedesktop-Lizenzierungsdienst RCE [CVE-2024-38077]

Datum der Offenlegung: August 12, 2024

CVE-ID und CVSS-Score: CVE-2024-38077: CVSS 9.8

Name und Beschreibung des Problems: Windows-Remotedesktop-Lizenzierungsdienst - Sicherheitsanfälligkeit bei Remotecodeausführung

Asset-Beschreibung: Der Windows Remotedesktop-Lizenzierungsdienst ist eine wichtige Komponente der Remotedesktopdienste (RDS) in Windows Server-Umgebungen. Er verwaltet die Lizenzierung für Benutzer und Geräte, die sich mit Remotedesktop-Sitzungshosts (RD-Sitzungshosts) verbinden.

Auswirkungen der Sicherheitsanfälligkeit: Ein Bedrohungsakteur könnte diese Sicherheitsanfälligkeit ausnutzen, um beliebigen Code auf den betroffenen Instanzen des Windows-Remotedesktop-Lizenzierungsdienstes auszuführen, was zu einer vollständigen Kompromittierung des Systems, Datendiebstahl und unberechtigtem Zugriff auf vertrauliche Informationen führen könnte.

Details zur Ausnutzung: Die Sicherheitsanfälligkeiten beruhen auf Heap-Overflow-Fehlern im Windows-Remotedesktop-Lizenzierungsdienst. Ein Angreifer könnte eine bösartige Nachricht senden, die dann auf dem Server ausgeführt wird und die Ausführung von Remotecode ermöglicht.

Auf GitHub sind mehrere PoCs veröffentlicht.

Patch-Verfügbarkeit: Microsoft hat Patches zur Behebung dieser Sicherheitslücke veröffentlicht. Instanzen sollten sofort auf die neueste gepatchte Version aktualisiert werden.

Censys Perspektive:

Zum Zeitpunkt der Erstellung dieses Berichts beobachtet Censys 79.000 exponierte Geräte online.

Um potenziell gefährdete, nicht gehostete Instanzen des Windows-Remotedesktop-Lizenzierungsdienstes zu identifizieren, können die folgenden Censys Abfragen verwendet werden:

  • Censys Search Query: services.parsed.dcerpc.endpoints.explained_uuid=”3d267954-eeb7-11d1-b94e-00c04fa3080d v1.0″
  • Censys ASM-Abfrage: host.services.parsed.dcerpc.endpoints.explained_uuid="3d267954-eeb7-11d1-b94e-00c04fa3080d v1.0″
  • Censys ASM-Risikoabfrage: risks.name="Windows Remotedesktop-Lizenzierungsdienst RCE-Schwachstelle [CVE-2024-38077]"

Referenzen:

 

Lösungen für das Management von Angriffsflächen
Mehr erfahren