Fecha de divulgación: 12 de agosto de 2024
CVE-ID y puntuación CVSS: CVE-2024-38077: CVSS 9.8
Nombre y descripción de la incidencia: Vulnerabilidad de ejecución remota de código en el servicio de licencias de escritorio remoto de Windows
Descripción del activo: Windows Remote Desktop Licensing Service es un componente crucial de Remote Desktop Services (RDS) en entornos Windows Server. Gestiona las licencias de los usuarios y dispositivos que se conectan a los hosts de sesión de Escritorio remoto (RD Session Hosts).
Impacto de la vulnerabilidad: Un actor de amenazas podría explotar esta vulnerabilidad para ejecutar código arbitrario en las instancias afectadas del Servicio de licencias de escritorio remoto de Windows, lo que podría llevar a un compromiso completo del sistema, robo de datos y acceso no autorizado a información confidencial.
Detalles de la explotación: Las vulnerabilidades se derivan de fallos de desbordamiento de heap en el Servicio de licencias de escritorio remoto de Windows. Un atacante podría enviar un mensaje malicioso que luego se ejecuta en el servidor, lo que permite la ejecución remota de código.
Hay varios PoC publicados en GitHub.
Disponibilidad de parches: Microsoft ha publicado parches para solucionar esta vulnerabilidad. Las instancias deben actualizarse inmediatamente a la última versión parcheada.
Censys Perspectiva:
En el momento de escribir estas líneas, Censys observa 79.000 dispositivos expuestos en línea.
Para identificar instancias del Servicio de licencias de Escritorio remoto de Windows no alojadas potencialmente vulnerables, se pueden utilizar las siguientes consultas de Censys :
- Censys Consulta de búsqueda: services.parsed.dcerpc.endpoints.explained_uuid="3d267954-eeb7-11d1-b94e-00c04fa3080d v1.0″
- Censys Consulta ASM: host.services.parsed.dcerpc.endpoints.explained_uuid="3d267954-eeb7-11d1-b94e-00c04fa3080d v1.0″.
- Censys ASM Risk Query: risks.name="Vulnerabilidad RCE del servicio de licencias de escritorio remoto de Windows [CVE-2024-38077]"
Referencias:
