Недавно выпущенный proof-of-concept (PoC) эксплойт привлек внимание к критической уязвимости удаленного выполнения кода (RCE) с нулевым кликом, затрагивающей Windows Server. Эта уязвимость, идентифицированная как CVE-2024-38077, влияет на широкий спектр версий Windows Server, начиная с 2000 года и до последней предварительной версии 2025 года. Уязвимость находится в службе лицензирования удаленного рабочего стола Windows, которая необходима для управления и выдачи лицензий на удаленный доступ к рабочему столу в многих бизнес-средах.
Эксплойт выпущен – MadLicense
Уязвимость, неофициально называемая "MadLicense", вызывает особую озабоченность из-за своей способности эксплуатироваться без какого-либо взаимодействия с пользователем. В отличие от многих уязвимостей RCE, которые требуют какого-либо действия со стороны пользователя, CVE-2024-38077 позволяет злоумышленникам выполнять произвольный код на уязвимых системах без усилий. Эта характеристика увеличивает риск, особенно учитывая широкое развертывание службы лицензирования удаленного рабочего стола в различных организациях.
В основе этой уязвимости лежит проблема переполнения кучи в функции CDataCoding::DecodeData, которая неправильно обрабатывает входные данные, контролируемые пользователем, что приводит к состоянию переполнения буфера. Эксплойт PoC, разработанный исследователями Вер, Льюис Ли и Чжинианг Пэнг, иллюстрирует, как эта уязвимость может быть использована для обхода современных мер безопасности в Windows Server 2025, в конечном итоге достигая полной возможности удаленного выполнения кода.
Эксплойт функционирует путем манипулирования службой лицензирования для загрузки удаленной DLL, что позволяет злоумышленникам выполнять произвольный шеллкод в процессе службы. Хотя PoC представлен в виде псевдокода и намеренно запутан для предотвращения злоупотреблений, он подчеркивает серьезность уязвимости и потенциал для эксплуатации.
С более чем 170 000 служб лицензирования удаленного рабочего стола, открытых для публичного интернета, последствия этой уязвимости значительны. Ее нулевой клик характер усугубляет угрозу, так как она может быть использована без какого-либо взаимодействия с пользователем, увеличивая вероятность широкомасштабных атак.
Microsoft была уведомлена о возможности эксплуатации этой уязвимости, но первоначально классифицировала ее как "менее вероятную для эксплуатации". Тем не менее, исследователи по безопасности подчеркивают важность своевременного исправления затронутых систем для предотвращения потенциальной эксплуатации. Они подчеркивают: "Мы демонстрируем, как одна уязвимость была использована для обхода всех мер безопасности и достижения атаки удаленного выполнения кода (RCE) до аутентификации на Windows Server 2025, который считается самым безопасным Windows Server."
Для снижения рисков организациям рекомендуется применять последние обновления безопасности от Microsoft. Кроме того, сетевые администраторы должны рассмотреть возможность внедрения дополнительных мер безопасности, таких как сегментация сети и строгий контроль доступа, чтобы минимизировать поверхность атаки.
Исследователи, участвовавшие в этом открытии, придерживались практик ответственного раскрытия информации, делясь подробностями об уязвимости и ее эксплуатационных возможностях с Microsoft. Их цель – повысить осведомленность о рисках, связанных с этой уязвимостью, и побудить к быстрым действиям по защите затронутых систем.
Хотя в настоящее время нет известных эксплойтов в обращении для уязвимости CVE-2024-38077, Microsoft выпустила патч. Пользователям настоятельно рекомендуется применить это обновление для эффективного снижения потенциальных рисков.