微软超高危漏洞“狂躁许可”
近期,微软披露最新的远程代码执行超高危漏洞CVE-2024-38077, CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。漏洞影响Windows Server 2000到Windows Server 2025所有版本,已存在近30年。该漏洞可稳定利用、可远控、可勒索、可蠕虫等,破坏力极大,攻击者无须任何权限即可实现远程代码执行。这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。攻击者无需任何前置条件,无需用户交互(零点击)便可直接获取服务器最高权限,执行任意操作。server2022 升级至20348.2582版本以上,补丁号:KB5040437
本帖最后由 yangjiangh 于 2024-8-16 17:51 编辑
在系统cmd命令行执行winver
查看系统的详细版本号根据你的系统安装对应的补丁在Win2008R2和Win2012R2中用winver命令查看不到小版本号
需要看注册表值 做了个简单的bat来查看
------------------------------------------------------------------------------------
Windows Server 2008 R2 SP1 升级到版本号为7601.27219
先安装服务堆栈更新SSU KB4490628https://catalog.update.microsoft.com/Search.aspx?q=KB4490628
再安装SHA2更新(需重启) KB4474419https://catalog.update.microsoft.com/Search.aspx?q=4474419
然后安装ESUKB5016892https://catalog.update.microsoft.com/Search.aspx?q=5016892
再安装服务堆栈更新SSU KB5039339https://catalog.update.microsoft.com/Search.aspx?q=KB5039339
安装Win2008R2-ESU-Suppressor附件有提供
再安装KB5040497补丁(月度汇总) https://catalog.update.microsoft.com/Search.aspx?q=KB5040497
或安装KB5040498 (仅限安全的更新) https://catalog.update.microsoft.com/Search.aspx?q=KB5040498
KB5040497和KB5040498安装其中一个即可
KB5040497是累计更新补丁 不单单修复此漏洞
KB5040498仅漏洞修复补丁
------------------------------------------------------------------------------------
Windows Server 2012 R2 升级到版本号为9600.22074
先安装服务堆栈更新SSU KB5037021https://catalog.update.microsoft.com/Search.aspx?q=KB5037021
再安装Win2012R2-ESU-Suppressor 见附件
最后安装KB5040456补丁 https://catalog.update.microsoft.com/Search.aspx?q=KB5040456
------------------------------------------------------------------------------------
Windows Server 2016升级到版本号为14393.7159
先安装服务堆栈更新SSU KB5040562https://catalog.update.microsoft.com/Search.aspx?q=KB5040562
需要安装KB5040434补丁 https://catalog.update.microsoft.com/Search.aspx?q=KB5040434
------------------------------------------------------------------------------------
Windows Server 2019 升级到版本号为17763.6054
先安装服务堆栈更新SSU KB5005112https://catalog.update.microsoft.com/Search.aspx?q=KB5005112
再安装KB5040430补丁 https://catalog.update.microsoft.com/Search.aspx?q=KB5040430
------------------------------------------------------------------------------------
Windows Server 2022 升级到版本号为20348.2582
需要安装KB5040437补丁 https://catalog.update.microsoft.com/Search.aspx?q=KB5040437
这妥妥 的是ms 留下的后门 漏洞涉及的是RDL服务 并不是RDP
RDL和RDP是2个不同的服务
RDP为TermService显示名称为Remote Desktop Services
RDL为TermServLicensing显示名称为Remote Desktop Licensing
RDL是远程桌面许可服务 这个是服务器系统才有的 而且是需要在功能中另外安装才会有
只有在服务器的角色和功能中,安装 远程桌面服务--远程桌面授权 才会有RDL服务
RDP是远程桌面服务这个是任何版本的Windows都有 只是默认关系状态
RDL的漏洞不影响RDP远程桌面服务
所以一般服务器无需担心这个漏洞,个人电脑更不用担心 zhjook 发表于 2024-8-11 02:51 https://bbs.pcbeta.com/static/image/common/back.gif
这妥妥 的是ms 留下的后门
还是你明白,这是在威胁某些人了吧 好在系统自动更新会安装这些补丁,否则后果真的很严重。 mozhaoming 发表于 2024-8-11 11:06 https://bbs.pcbeta.com/static/image/common/back.gif
好在系统自动更新会安装这些补丁,否则后果真的很严重。
这个是服务器,个人几乎没有影响 yangjiangh 发表于 2024-8-10 02:50 https://bbs.pcbeta.com/static/image/common/back.gif
在系统cmd命令行执行winver
查看系统的详细版本号根据你的系统安装对应的补丁
----------- ...
谢谢分享! yangjiangh 发表于 2024-8-11 07:30 https://bbs.pcbeta.com/static/image/common/back.gif
漏洞涉及的是RDL服务 并不是RDP
RDL和RDP是2个不同的服务
RDP为TermService显示名称为Remote Desktop Ser ...
意思即是说,即便是服务器系统开着3389,打开了远程桌面服务,只要不安装 RDL,仍然是安全的。进一步,如果服务器是在防火墙内,即便是3389映射到墙外,即便已安装 RDL,只要将80、443限制仅localhost可用,仍是安全的?因为 RDL 许可授权,是通过浏览器进行的。 本帖最后由 yangjiangh 于 2024-8-12 15:12 编辑
有闲 发表于 2024-8-12 11:38 https://bbs.pcbeta.com/static/image/common/back.gif
意思即是说,即便是服务器系统开着3389,打开了远程桌面服务,只要不安装 RDL,仍然是安全的。进一步,如 ...
在我的服务器上 观察RDL的初次监听端口是49669端口开始分配的
重启Remote Desktop Licensing服务,RDL端口就变动一次
从初始端口开始往上加
每台服务器RDL使用的初始端口可能不一样
系统自带的Windows防火墙不要关闭 然后禁用防火墙中远程授权的相关规则
在 高级安全Windows防火墙 入站规则中将:
远程桌面授权服务器**
右键 禁用规则
一起涉及5个防火墙规则
为了安全可以在 出站规则 中将:
远程桌面授权服务器 - WMI (WMI-Out)
右键 禁用规则
说明:
安装RDL后防火墙中才会有以上6个防火墙规则(是安装RDL自动加上去的)
大部分服务器RDL是授权本机许可用途 不对外机器进行许可业务
在防火墙中禁用以上的6个规则 不影响本机的远程桌面授权
也不影响本机被远程桌面连接
本帖最后由 gt2000 于 2024-8-12 20:13 编辑
{:5_287:} Windows的系列产品,使用面太广了。
影响范围也不得了 yangjiangh 发表于 2024-8-10 02:50 https://bbs.pcbeta.com/static/image/common/back.gif
在系统cmd命令行执行winver
查看系统的详细版本号根据你的系统安装对应的补丁
----------- ...
咨询下,2008r2 sp1 ,我只安装微软的链接中微软的离线补丁, 不安装Win2008R2-ESU-Suppressor这个可以不?
我在打补丁前运行了Win2008R2-ESU-Suppressor,并选择1安装了,然后才打的补丁,但是看介绍打不打这个抑制ESU好像没啥关系,主要是为了后续能在线获得更新的目的吗? 本帖最后由 yangjiangh 于 2024-8-16 01:49 编辑
zhl416 发表于 2024-8-16 01:06 https://bbs.pcbeta.com/static/image/common/back.gif
咨询下,2008r2 sp1 ,我只安装微软的链接中微软的离线补丁, 不安装Win2008R2-ESU-Suppressor这个可以不 ...
没Win2008R2-ESU-Suppressor
好像安装不了这个补丁
会安装失败
本帖最后由 有闲 于 2024-8-17 19:58 编辑
yangjiangh 发表于 2024-8-10 02:50 https://i.pcbeta.com/static/image/common/back.gif
在系统cmd命令行执行winver
查看系统的详细版本号根据你的系统安装对应的补丁在Win2008R2和 ...
弱弱的问一句,@yangjiangh 大侠,OEM J H 的2008r2sp1、2012r2系统,安装ESU-Suppressor后确实能成功安装补丁,但版本号上不去。。。。。。2016以上,用更新就可以了,一样是oem,但版本号跟得上。
有闲 发表于 2024-8-17 16:29 https://i.pcbeta.com/static/image/common/back.gif
弱弱的问一句,@yangjiangh 大侠,OEM J H 的2008r2sp1、2012r2系统,安装ESU-Suppressor后确实能成功安装 ...
在2008、2012中用 slmgr.vbs /dlv 看的小版本号是不正确的
可以用Dism++软件能看到系统的完整版本号
或者看注册表HHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion中UBR的十进制数据就是小版本号 yangjiangh 发表于 2024-8-17 21:46 https://i.pcbeta.com/static/image/common/back.gif
在2008、2012中用 slmgr.vbs /dlv 看的小版本号是不正确的
可以用Dism++软件能看到系统的完整版本号
或 ...
谢谢指导! yangjiangh 发表于 2024-8-16 01:47 https://i.pcbeta.com/static/image/common/back.gif
没Win2008R2-ESU-Suppressor
好像安装不了这个补丁
会安装失败
确实,我们这边测试过了,我是直接先安装buypass之后才打的补丁
后来测试不安装KB4490628也可以,不知道什么鬼。。。。
页:
[1]