Datum der Offenlegung: August 12, 2024
CVE-ID und CVSS-Score: CVE-2024-38077: CVSS 9.8
Name und Beschreibung des Problems: Windows-Remotedesktop-Lizenzierungsdienst - Sicherheitsanfälligkeit bei Remotecodeausführung
Asset-Beschreibung: Der Windows Remotedesktop-Lizenzierungsdienst ist eine wichtige Komponente der Remotedesktopdienste (RDS) in Windows Server-Umgebungen. Er verwaltet die Lizenzierung für Benutzer und Geräte, die sich mit Remotedesktop-Sitzungshosts (RD-Sitzungshosts) verbinden.
Auswirkungen der Sicherheitsanfälligkeit: Ein Bedrohungsakteur könnte diese Sicherheitsanfälligkeit ausnutzen, um beliebigen Code auf den betroffenen Instanzen des Windows-Remotedesktop-Lizenzierungsdienstes auszuführen, was zu einer vollständigen Kompromittierung des Systems, Datendiebstahl und unberechtigtem Zugriff auf vertrauliche Informationen führen könnte.
Details zur Ausnutzung: Die Sicherheitsanfälligkeiten beruhen auf Heap-Overflow-Fehlern im Windows-Remotedesktop-Lizenzierungsdienst. Ein Angreifer könnte eine bösartige Nachricht senden, die dann auf dem Server ausgeführt wird und die Ausführung von Remotecode ermöglicht.
Auf GitHub sind mehrere PoCs veröffentlicht.
Patch-Verfügbarkeit: Microsoft hat Patches zur Behebung dieser Sicherheitslücke veröffentlicht. Instanzen sollten sofort auf die neueste gepatchte Version aktualisiert werden.
Censys Perspektive:
Zum Zeitpunkt der Erstellung dieses Berichts beobachtet Censys 79.000 exponierte Geräte online.
Um potenziell gefährdete, nicht gehostete Instanzen des Windows-Remotedesktop-Lizenzierungsdienstes zu identifizieren, können die folgenden Censys Abfragen verwendet werden:
- Censys Search Query: services.parsed.dcerpc.endpoints.explained_uuid=”3d267954-eeb7-11d1-b94e-00c04fa3080d v1.0″
- Censys ASM-Abfrage: host.services.parsed.dcerpc.endpoints.explained_uuid="3d267954-eeb7-11d1-b94e-00c04fa3080d v1.0″
- Censys ASM-Risikoabfrage: risks.name="Windows Remotedesktop-Lizenzierungsdienst RCE-Schwachstelle [CVE-2024-38077]"
Referenzen:
