ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • Research
  • 脅威分析レポート
Windows Server Remote Desktop Licensing Serviceの脆弱性分析:CVE-2024-38077
2024.12.05

✅ レポートタイトル:Windows Server Remote Desktop Licensing Serviceに関する脆弱性分析:CVE-2024-38077(MadLicense)



✅ レポートの要約:


- 当該レポートは、Windows Server Remote Desktop Licensing Serviceで発見された脆弱性「CVE-2024-38077(MadLicense)」に関する分析レポートです。


- 当該脆弱性は、Remote Desktop Licensing ServiceのLicense Key Packデータ処理中にユーザー入力値が検証されていないため、不適切なメモリ管理によって引き起こされるRemote Code Executionの脆弱性です。


- Remote Desktop Licensing Serviceが有効になっており、2024年7月以降の累積的な更新プログラムが適用されていないすべてのWindows Server製品が脆弱であることが知られています。


- 現在インストールされているWindows Serverのアップデートは、コントロールパネル>プログラムと機能>インストールされているアップデートの表示項目より確認でき、インストールされているアップデートのKB番号を確認して2024年7月以前までの一連のアップデートがインストールされている場合は、最新バージョンにアップデートすることを推奨します。


アップデートが不可能な場合は、以下の「脅威検出の推奨項目と対策方法」の一時的な対応方法に従って対処することをお勧めします。



📌 CVE-2024-38077に関する詳細


- CVE Number: CVE-2024-38077


- Disclosure or Patch Date: 2024-07-09


- Product: Windows Server


- Vendor: Microsoft


- Confirmed Affected Version: Windows Server < 2024-07 Cumulative Update


- Patched Version: Windows Server ≥ 2024-07 Cumulative Update


- Reporter(Advisor): Lewis Lee, Chunyang Han and Zhiniang Peng


- Causes:当該脆弱性の影響を受けるRemote Desktop Licensing Serviceでユーザーが入力したLicense Key Packデータをデコードする場合、デコード結果を保存するためのメモリーをユーザーの入力に関係なく固定サイズの21バイトとして割り当てます。


  ユーザーが入力したライセンスキーパックデータのデコード後にサイズが21バイトを超えると、ヒープバッファオーバーフローが発生し、同じヒープ内の隣接データを上書きすることがあります。


脆弱性「CVE-2024-38077」に関する詳細はレポートよりご確認いただけます。



✅ 脅威検出の推奨項目と対策方法:


- 既知の悪用事例は存在しませんが、特定のビルドのWindows Server 2025 Previewを対象にリモートコード実行が可能なPoCコードの一部が公開されており、注意が必要です。


  Heap Buffer Overflowバグをexploitする方法、Windows HeapとRPCの動作原理について十分な知識を持った攻撃者は、比較的簡単に公開された未完成コードを実際の攻撃に悪用可能な形で完成することができ、迅速な悪用が可能であると推定されます。


- Remote Desktop Licensing Serviceが有効になっており、2024-07以降の累積的な更新プログラムが適用されていない全てのWindows Server製品が脆弱であることが知られています。


- 脆弱なバージョンのWindows Server製品を使用している場合は、最新バージョンにアップデートすることをお勧めします。


- アップデートが不可能な場合は、下記の一時対応方法に従って対処することをお勧めします。


  Remote Desktop Licensing Serviceを無効にする:Windows ServerをRemote Desktop Session Hostとして使用すると、問題が発生する可能性があります。


  Remote Desktop Licensing Serviceが不要な場合は、攻撃対象領域を最小限に抑えるためにアップデートを適用した後も無効にしておくことをお勧めします。



※当該レポートは、S2Wのプラットフォーム「QUAXAR(クェーサー)」にて全文が提供されています。詳細に関してはお問い合わせください。



🧑‍💻 レポート作成者: S2W 「TALON」 (2024年9月3日基準)


👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact


*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。


脅威分析レポート
2024年サイバー脅威決算レポート
2024.12.04
前へ
脅威分析レポート
LLMアプリ作成プラットフォーム「Flowise」の脆弱性分析:CVE-2024-8181
2024.12.13
次へ
一覧