{"id":298211,"date":"2024-08-09T08:28:21","date_gmt":"2024-08-09T06:28:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=298211"},"modified":"2024-08-09T13:09:22","modified_gmt":"2024-08-09T11:09:22","slug":"windows-server-durch-poc-exploit-fr-cve-2024-38077-gefhrdet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/09\/windows-server-durch-poc-exploit-fr-cve-2024-38077-gefhrdet\/","title":{"rendered":"Windows Server durch PoC-Exploit f&uuml;r CVE-2024-38077 gef&auml;hrdet"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/08\/09\/windows-server-at-risk-from-poc-exploit-for-cve-2024-38077\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Nochmals ein Nachgang zum Juli 2024-Patchday, bei dem Microsoft die Schwachstelle CVE-2024-38077 im Windows-Remotedesktop-Lizenzierungsdienst (RDL) von Windows Server geschlossen hat. Es handelt sich um eine Remote Code Execution-Schwachstelle (RCE), die mit dem CVSS 3.1-Wert von 9.8 bewertet wurde. Wer noch nicht gepatcht hat, sollte dies umgehend erledigen. Denn es wurde ein Proof of Concept (PoC) f\u00fcr diese Schwachstelle ver\u00f6ffentlicht. Diese Ver\u00f6ffentlichung wurde zwar nach wenigen Stunden wieder offline genommen, es ist imho aber bald mit Angriffen zu rechnen.<\/p>\n<p><!--more--><\/p>\n<h2>Windows Server-Schwachstelle CVE-2024-38077<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/7987f826381843f1b0205ec7ca7b9ac1\" alt=\"\" width=\"1\" height=\"1\" \/>Ich habe mal nachgesehen, Microsoft hat bisher keine Details zur Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-38077\" target=\"_blank\" rel=\"nofollow noopener\">CVE-2024-38077<\/a> ver\u00f6ffentlicht, im verlinkten Beitrag hei\u00dft es lediglich, dass es sich um eine eine Remote Code Execution-Schwachstelle (RCE) handelt, die mit dem CVSS 3.1-Wert von 9.8 als absolut kritisch eingestuft wurde.<\/p>\n<p>Die Schwachstelle im Windows-Remotedesktop-Lizenzierungsdienst (RDL) erm\u00f6glicht Angriffe auf das Netzwerk und erfordert nur eine niedrige Komplexit\u00e4t f\u00fcr eine erfolgreiche Ausnutzung. Es hei\u00dft bei Microsoft, dass ein nicht authentifizierter Angreifer eine Verbindung zum Remotedesktop-Lizenzierungsdienst herstellen k\u00f6nnte, um eine b\u00f6sartige Nachricht, die eine Ausf\u00fchrung von Remotecode erm\u00f6glichen k\u00f6nnte, zu senden.<\/p>\n<p>Spezielle Berechtigungen zur Ausnutzung sind nicht erforderlich. Allerdings muss der Windows-Remotedesktop-Lizenzierungsdienst (RDL) aktiviert sein (siehe auch den nachfolgenden Kommentar). Bisher gibt es wohl noch keine Ausnutzung und Microsoft sieht eine geringe Wahrscheinlichkeit einer Ausnutzung. Gleichzeitig hat Microsoft Updates f\u00fcr noch unterst\u00fctzte Windows Server-Versionen ver\u00f6ffentlich und empfohlen, diese dringend zu installieren. Ich habe nachfolgend mal die Patches vom 9. Juli 2024 f\u00fcr die jeweiligen Server-Versionen herausgezogen.<\/p>\n<ul>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5040499\" target=\"_blank\" rel=\"noopener\">KB5040499<\/a>; <a href=\"https:\/\/support.microsoft.com\/help\/5040490\" target=\"_blank\" rel=\"noopener\">KB5040490<\/a>: Windows Server 2008<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5040497\" target=\"_blank\" rel=\"noopener\">KB5040497<\/a>; <a href=\"https:\/\/support.microsoft.com\/help\/5040498\" target=\"_blank\" rel=\"noopener\">KB5040498<\/a>: Windows Server 2008 R2<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5040485\" target=\"_blank\" rel=\"noopener\">KB5040485<\/a>: Windows Server 2012<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5040456\" target=\"_blank\" rel=\"noopener\">KB5040456<\/a>: Windows Server 2012 R2<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5040434\" target=\"_blank\" rel=\"noopener\">KB5040434<\/a>: Windows Server 2016<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5040430\" target=\"_blank\" rel=\"noopener\">KB5040430<\/a>: Windows Server 2019<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5040437\" target=\"_blank\" rel=\"noopener\">KB5040437<\/a>: Windows Server 2022<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5040438\" target=\"_blank\" rel=\"noopener\">KB5040438<\/a>: Windows Server 2022\u00a0 23H2<\/li>\n<\/ul>\n<p>Es stehen also Sicherheitsupdates f\u00fcr obige Schwachstelle bereit, die ich auch in den Patchday-Beitr\u00e4gen erw\u00e4hnt habe (siehe Links am Artikelende). Zudem gibt es den Ratschlag, den Remotedesktop-Lizenzierungsdienst zu deaktivieren &#8211; falls dieser aktiviert wurde, aber nicht ben\u00f6tigt wird. M\u00f6glicherweise hat aber der eine oder andere Administrator die Updates wegen diverser Probleme, die am Artikelende in den Links angesprochen werden, nicht installiert. Und eine Deaktivierung des Diensts ist nicht m\u00f6glich. Dann laufen diese F\u00e4lle in potentielle Probleme.<\/p>\n<blockquote><p>Der Windows-Remotedesktop-Lizenzierungsdienst (RDL) ist f\u00fcr die Verwaltung der Lizenzen der Remotedesktopdienste zust\u00e4ndig. Der Dienst sollte nur verf\u00fcgbar sein, wenn er als Rolle auf dem Server installiert ist. RDL wird aber in vielen Unternehmen eingesetzt. Sicherheitsforscher mussten feststellen, dass die RDL-Dienste von mindestens 170.000 Instanzen per Internet erreichbar sind. Diese Installationen sind anf\u00e4llig f\u00fcr Angriffe, und der Umstand, dass der RDL-Dienst h\u00e4ufig in kritische Gesch\u00e4ftssysteme und Remote-Desktop-Cluster integriert ist, macht es auch nicht besser.<\/p><\/blockquote>\n<h2>Proof of Concept (PoC) f\u00fcr CVE-2024-38077<\/h2>\n<p>Ich bin durch nachfolgenden <a href=\"https:\/\/x.com\/Dinosn\/status\/1821738206670340379\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> von Nicolas Krassas aufgeschreckt worden. Er schreibt, dass f\u00fcr CVE-2024-38077 ein 0-Klick-RCE ver\u00f6ffentlicht wurde, der alle Windows-Server-Systeme, die nicht gepatcht sind, bedroht.<\/p>\n<p><a href=\"https:\/\/x.com\/Dinosn\/status\/1821738206670340379\" target=\"_blank\" rel=\"nofollow noopener\"><img decoding=\"async\" title=\"Proof of Concept (PoC) for CVE-2024-38077\" src=\"https:\/\/i.postimg.cc\/Y98PWW0S\/image.png\" alt=\"Proof of Concept (PoC) for CVE-2024-38077\" \/><\/a><\/p>\n<p>Security Online hat den Sachverhalt in <a href=\"https:\/\/securityonline.info\/exploitable-poc-released-for-cve-2024-38077-0-click-rce-threatens-all-windows-servers\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> aufgegriffen, nachdem es drei Sicherheitsforschern gelungen ist, Code f\u00fcr einen Proof-of-Concept (PoC)-Exploit f\u00fcr die kritische Sicherheitsl\u00fccke CVE-2024-38077 (MadLicense) zu erstellen und dar\u00fcber im Internet berichtet haben. Diese Schwachstelle, die eine Remotecodeausf\u00fchrung (RCE) vor der Authentifizierung erm\u00f6glicht, betrifft alle Versionen von Windows Server 2000 bis 2025 und gibt Angreifern die M\u00f6glichkeit, die vollst\u00e4ndige Kontrolle \u00fcber einen Zielserver zu \u00fcbernehmen, ohne dass eine Benutzerinteraktion erforderlich ist.<\/p>\n<p>Die als MadLicense bezeichnete Schwachstelle nutzt einen einfachen Heap-\u00dcberlauf in der CDataCoding::DecodeData-Prozedur aus. Durch Manipulation von benutzergesteuerten Eingaben k\u00f6nnen Angreifer einen Puffer\u00fcberlauf ausl\u00f6sen, der zur Ausf\u00fchrung von beliebigem Code im Kontext des RDL-Dienstes f\u00fchrt, hei\u00dft es.<\/p>\n<h2>Alle Windows Server-Versionen gef\u00e4hrdet<\/h2>\n<p>Die oben erw\u00e4hnten Sicherheitsforscher haben den Proof-of-Concept (POC)-Exploit f\u00fcr Windows Server 2025 entwickelt, um die Ausnutzbarkeit zu demonstrieren und erzielten eine Erfolgsquote von nahezu 100 %. Der Exploit umgeht effektiv alle aktuellen Schutzma\u00dfnahmen, einschlie\u00dflich der k\u00fcrzlich eingef\u00fchrten LFH-Schutzma\u00dfnahmen in Windows Server 2025, schreibt Security Online in <a href=\"https:\/\/securityonline.info\/exploitable-poc-released-for-cve-2024-38077-0-click-rce-threatens-all-windows-servers\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a>.<\/p>\n<p>W\u00e4hrend der PoC die Ausnutzung der Schwachstelle auf Windows Server 2025 demonstriert, sehen die Forscher, dass die Schwachstelle auf \u00e4lteren Versionen von Windows Server schneller und effizienter ausgenutzt werden k\u00f6nnte, da dort weniger Schutzma\u00dfnahmen vorhanden sind.<\/p>\n<h2>Entdeckung gemeldet, PoC-Bericht offline<\/h2>\n<p>Die Sicherheitsforscher haben die Sicherheitsl\u00fccke einen Monat vor der Ver\u00f6ffentlichung an Microsoft gemeldet, schreibt Security Online. Microsoft hat die Schwachstelle zwar im Juli 2024 gepatcht, die Ausnutzung zun\u00e4chst aber als \"weniger wahrscheinlich\" eingestuft. Es dr\u00e4ngt sich der Verdacht auf, dass die Bedrohungen untersch\u00e4tzt wurden.<\/p>\n<p>Aber das Drama geht leider noch weiter, bzw. es wird interessant: Der Blog-Beitrag von Security Online wurde vor wenigen Stunden ver\u00f6ffentlicht und ich bin die Nacht auf das Thema gesto\u00dfen. Als ich heute morgen das Ganze im Blog als Beitrag aufbereiten wollte, bin ich ins Staunen gekommen. Inzwischen ist die Google-Seite eines Sicherheitsforschers mit der Erl\u00e4uterung des Proof-of-Concept (POC)-Exploit bereits wieder verschwunden. Auch das zugeh\u00f6rige YouTube-Video der Sicherheitsforscher ist im Internet nicht mehr abrufbar. Ich habe mal geschaut, die Caches der Suchmaschinen wurden ebenfalls bereinigt.<\/p>\n<p>Fazit: Da ist in meinen Augen die H\u00fctte am Brennen und die Sicherheitsforscher haben etwas aufgedeckt, was (noch) nicht publiziert werden sollte. Ich gehe aber davon aus, dass der Inhalt der Seite [sites.google[.]com\/site\/zhiniangpeng\/blogs\/MadLicense] durch interessierte Dritte gelesen und abgegriffen wurde. M\u00f6glicherweise dauert es nicht mehr lange, bis die Schwachstelle Angriffen ausgesetzt ist. F\u00fcr Administratoren in Unternehmen, die f\u00fcr Windows Server zust\u00e4ndig sind, hei\u00dft es drei Ma\u00dfnahmen ergreifen:<\/p>\n<ul>\n<li>Sicherstellen, dass der Windows-Remotedesktop-Lizenzierungsdienst (RDL) nicht per Internet erreichbar ist.<\/li>\n<li>Sofern der Windows-Remotedesktop-Lizenzierungsdienst (RDL) nicht ben\u00f6tigt wird, sollte dieser deaktiviert werden.<\/li>\n<li>Die betreffenden Sicherheitsupdates von Juli 2024 installieren, um die Schwachstelle zu entsch\u00e4rfen.<\/li>\n<\/ul>\n<p>Wie es aktuell ausschaut, wird es mal wieder nicht aktiv betreute Systeme treffen, wenn erste Kampagnen zur Ausnutzung starten. Und es bringt die Administratoren in Bredouille, die die Juli 2024-Updates wegen Problemen wie kaputter Remote Desktop (siehe folgende Artikellinks) nicht installieren k\u00f6nnen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2024\/07\/09\/microsoft-security-update-summary-9-juli-2024\/\">Microsoft Security Update Summary (9. Juli 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/07\/10\/patchday-windows-10-server-updates-9-juli-2024\/\">Patchday: Windows 10\/Server-Updates (9. Juli 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/07\/10\/patchday-windows-11-server-2022-updates-9-juli-2024\/\">Patchday: Windows 11\/Server 2022-Updates (9. Juli 2024<\/a>)<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/07\/10\/windows-server-2012-r2-und-windows-7-9-juli-2024\/\">Windows Server 2012 \/ R2 und Windows 7 (9. Juli 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/07\/11\/microsoft-office-updates-9-juli-2024\/\">Microsoft Office Updates (9. Juli 2024)<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2024\/07\/10\/windows-11-update-kb5040442-verursacht-probleme-mit-outlook-2021\/\">Windows 11 Update KB5040442 verursacht Probleme mit Outlook 2021<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/07\/11\/windows-juli-2024-updates-machen-remote-verbindungen-kaputt\/\">Windows Juli 2024-Updates machen Remote Verbindungen kaputt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/07\/12\/windows-11-update-kb5040442-verursacht-bitlocker-abfragen-juli-2024\/\">Windows 10\/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/07\/13\/windows-update-juli-2024-gibt-es-probleme-mit-radius-authentifizierungen\/\">Windows Update Juli 2024: Gibt es Probleme mit Radius-Authentifizierungen?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/07\/13\/juni-2024-sicherheitsupdate-kb5040427-lsst-windows-10-lpd-druckdienst-abstrzen\/\">Juli 2024-Sicherheitsupdate KB5040427 l\u00e4sst Windows 10\/Server LPD-Druckdienst abst\u00fcrzen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/07\/13\/microsofts-fixes-fr-diverse-windows-bugs-juli-2024\/\">Microsofts Fixes f\u00fcr diverse Windows-Bugs (Juli 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/07\/18\/windows-patchday-nachlese-mshtml-0-day-schwachstelle-cve-2024-38112-durch-malware-ausgenutzt\/\">Windows Patchday-Nachlese: MSHTML 0-day-Schwachstelle CVE-2024-38112 durch Malware ausgenutzt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Nochmals ein Nachgang zum Juli 2024-Patchday, bei dem Microsoft die Schwachstelle CVE-2024-38077 im Windows-Remotedesktop-Lizenzierungsdienst (RDL) von Windows Server geschlossen hat. Es handelt sich um eine Remote Code Execution-Schwachstelle (RCE), die mit dem CVSS 3.1-Wert von 9.8 bewertet wurde. Wer noch &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/08\/09\/windows-server-durch-poc-exploit-fr-cve-2024-38077-gefhrdet\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,2557],"tags":[8488,4328,4315,4364],"class_list":["post-298211","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-server","tag-patchday-7-2024","tag-sicherheit","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/298211","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=298211"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/298211\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=298211"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=298211"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=298211"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}