Windows Server のゼロクリック RCE 脆弱性 CVE-2024-38077：PoC がリリースされた！

Exploitable PoC Released for CVE-2024-38077: 0-Click RCE Threatens All Windows Servers

2024/08/08 SecurityOnline — Windows Server 2000〜2025 の全バージョンに影響を及ぼす、深刻な脆弱性 MadLicense CVE-2024-38077 (CVSS：9.8) に対する PoC エクスプロイト・コードが、CloudCrowSec001 のセキュリティ研究者である Ver／Lewis Lee／Zhiniang Peng により公開された。この認証前リモートコード実行 (RCE) の脆弱性の悪用に成功した攻撃者に、いかなる形態のユーザー・インタラクションも必要とせずに、標的サーバを完全に制御するための権限を奪っていく。

広範な暴露と重大な影響

Windows Remote Desktop Licensing Service (RDL) は、Remote Desktop Services のライセンスを管理する役割を担い、多種多様な組織において広く利用されている。驚くべきことに、少なくとも 17万以上の RDL サービスがインターネットに露出しており、悪用されやすい状態になっていることを、研究者たちは突き止めた。さらに、RDL サービスは、一般的に重要なビジネス・システムや RDP クラスタに統合されているため、この脆弱性による潜在的な影響は大きくなっている。

MadLicense を悪用する： 単純なヒープオーバーフロー

この MadLicense と名付けられた脆弱性 CVE-2024-38077 は、CDataCoding::DecodeDataプロシージャにおける、単純なヒープバッファ・オーバーフローに起因する。ユーザーが制御すべき入力を操作する攻撃者が、バッファ・オーバーフローを引き起こし、RDL サービスのコンテキスト内で、任意のコード実行の機会を手にする。

研究者たちは、Windows Server 2025 上で PoC を成功させ、ほぼ 100％ の成功率を達成している。この悪用は、先日に Windows Server 2025 に導入された LFH などの、すべての最新の緩和策を効果的に回避する。

今回の PoC では、Windows Server 2025 上での脆弱性の悪用が実証されたが、より緩和策が少ない 旧バージョンの Windows Server 上であれば、このバグを、より迅速かつ効率的に悪用できると、研究者たちは強調している。

この PoC は、リモート DLL をロードするように設計されているが、わずかな修正を施すことで、RDL プロセス内で任意のシェルコードの実行が可能となり、さらなるステルス化に対応できると、研究者たちは指摘している。

責任ある開示とパッチ適用

この脆弱性が公表される１ヶ月前に、研究者たちは Microsoft に対して、この脆弱性を報告している。その後の、7月の Patch Tuesday で Microsoft は、この脆弱性にパッチを適用している。 ただし、その時点では、悪用の可能性は低いと評価され、この脅威は過小評価されていた。

使用中のシステムで、Remote Desktop Licensing Service (RDL) のサービスが不要になった場合は、セキュリティのベストプラクティスとして、このサービスの無効化を検討してほしい。未使用のサービスや不要なサービスを無効化することで、セキュリティの脆弱性に遭遇する機会が削減される。

PoC エクスプロイト・コードが表面化

securityonline.info 研究者たちが、脆弱性 CVE-2024-38077 の PoC エクスプロイトコードを、Github で発見したと報告している。このコードの真偽性は、現時点で確認されていないが、パッチ適用の緊急性を強調するものとなっている。

行動への呼びかけ

ユーザー組織に対して強く推奨されるのは、Windows Server システムのアップデートを優先し、潜在的な攻撃からシステムを保護することである。さらに、セキュリティ専門家に対して推奨されるのは、研究者のブログ投稿で共有された洞察を活用して、悪用の試みを特定／阻止することである。

Windows の Remote Desktop Licensing (RDL) サービスが、少なくとも 17万以上もインターネットに露出しているという、とても心配な状況に陥っているようです。しかも、脆弱性 MadLicense CVE-2024-38077 (CVSS：9.8) が存在し、それに対する PoC エクスプロイト・コードが発見されているとのことです。ただし、Microsoft のアドバイザリでは、Exploted = No となっています。文中にもあるように、7月の Patch Tuesday で FIX されていますので、アップデートの状況を、ご確認ください。よろしければ、Windows で検索も、ご利用ください。