### Уязвимость в Windows Server: Эксплойт для удаленного выполнения кода
Недавно выпущенный доказательство концепции (PoC) эксплойт привлек внимание к критической уязвимости нулевого клика для удаленного выполнения кода (RCE), затрагивающей Windows Server. Эта уязвимость, идентифицированная как CVE-2024-38077, охватывает широкий спектр версий Windows Server, начиная с 2000 года и до последней предварительной версии 2025 года. Уязвимость находится в службе лицензирования удаленного рабочего стола Windows, которая является ключевой для управления и выдачи лицензий на удаленный доступ в многих бизнес-средах.
Эта уязвимость, неофициально названная «MadLicense», вызывает особую озабоченность из-за своей способности быть эксплуатируемой без какого-либо взаимодействия пользователя. В отличие от многих уязвимостей RCE, требующих каких-либо действий со стороны пользователя, CVE-2024-38077 позволяет злоумышленникам выполнять произвольный код на уязвимых системах без усилий. Эта характеристика увеличивает риск, особенно учитывая широкое распространение службы лицензирования удаленного рабочего стола в различных организациях.
### Эксплойт MadLicense
В основе этой уязвимости лежит проблема переполнения кучи в функции CDataCoding::DecodeData, которая неправильно обрабатывает ввод пользователя, приводя к состоянию переполнения буфера. Эксплойт PoC, разработанный исследователями Вер, Льюис Ли и Жинианг Пэнг, демонстрирует, как эта уязвимость может быть использована для обхода современных мер безопасности в Windows Server 2025, в конечном итоге достигая полного удаленного выполнения кода.
Эксплойт функционирует путем манипулирования службой лицензирования для загрузки удаленной DLL, что позволяет злоумышленникам выполнять произвольный шелл-код в процессе службы. Хотя PoC представлен в псевдокоде и намеренно запутан для предотвращения злоупотреблений, он подчеркивает серьезность уязвимости и потенциал для эксплуатации.
С более чем 170 000 служб лицензирования удаленного рабочего стола, открытых для публичного интернета, последствия этой уязвимости значительны. Ее нулевой клик характер усугубляет угрозу, так как она может быть эксплуатирована без какого-либо взаимодействия пользователя, увеличивая вероятность массовых атак.
### Рекомендации по защите
Microsoft была уведомлена о возможности эксплуатации этой уязвимости, но первоначально классифицировала ее как «менее вероятную для эксплуатации». Тем не менее, исследователи по безопасности подчеркивают важность своевременного патчирования затронутых систем для предотвращения потенциальной эксплуатации. Они отмечают: «Мы демонстрируем, как одна уязвимость была использована для обхода всех мер защиты и достижения атаки на удаленное выполнение кода (RCE) до аутентификации на Windows Server 2025, который считается самым безопасным Windows Server.»
Для снижения рисков организациям рекомендуется применять последние обновления безопасности от Microsoft. Кроме того, администраторам сетей следует рассмотреть возможность внедрения дополнительных мер безопасности, таких как сегментация сети и строгий контроль доступа, чтобы минимизировать поверхность атаки.
Исследователи, участвовавшие в этом открытии, придерживались практики ответственного раскрытия информации, делясь подробностями об уязвимости и ее эксплуатационности с Microsoft. Их цель — повысить осведомленность о рисках, связанных с этой уязвимостью, и побудить к быстрому принятию мер по защите затронутых систем.
Хотя в настоящее время нет известных эксплойтов для уязвимости CVE-2024-38077 в обращении, Microsoft выпустила патч. Пользователям настоятельно рекомендуется применить это обновление для эффективного снижения потенциальных рисков.