ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • 연구
  • 위협 인텔리전스 보고서
윈도우 서버 Remote Desktop Licensing Service 취약점 분석: CVE-2024-38077
2024.12.05

S2W 위협 인텔리전스센터에서 주의깊게 지켜보고 있는 윈도우 취약점 CVE-2024-38077에 대한 내용을 확인할 수 있는 위협 인텔리전스 보고서를 발간했습니다.


본 보고서는 2024년 9월 3일에 발행되었으나, 최근 해당 취약점에 대한 구매 의사를 표현하는 다크웹 유저들이 다수 발견되어 공유드립니다.



✅ 보고서 제목:


Windows Server의 Remote Desktop Licensing Service 취약점 분석: CVE-2024-38077 (MadLicense)



✅ 보고서 요약:


- 본 보고서는 Windows Server의 Remote Desktop Licensing Service에서 발견된 취약점인 CVE-2024-38077 (MadLicense) 에 대한 분석 보고서입니다.


- 해당 취약점은 Remote Desktop Licensing Service의 License Key Pack 데이터 처리 과정에서 사용자 입력 값의 검증 미흡 및 부적절한 메모리 관리로 인해 발생하는 Remote Code Execution 취약점입니다.


- Remote Desktop Licensing Service가 활성화되어 있으며, 2024-07 또는 이후의 누적 업데이트가 적용되지 않은 모든 Windows Server 제품군이 취약한 것으로 알려져 있습니다.


- 현재 설치된 Windows Server 업데이트는 제어판 > 프로그램 및 기능 > 설치된 업데이트 보기 항목을 선택하여 확인 가능하며 설치된 업데이트의 KB 번호를 확인하여 2024-07 이전의 누적 업데이트가 설치되어 있는 경우, 최신 버전으로 업데이트를 권장합니다. 만약 업데이트가 불가능할 경우, 아래 ‘위협 탐지 권장 사항 및 조치 방안’의 임시 조치방안에 따라 조치할 것을 권장합니다.



📌 CVE-2024-38077에 대한 구체적인 정보는 어떻게 되나요?

 

- CVE Number: CVE-2024-38077


- Disclosure or Patch Date: 2024-07-09


- Product: Windows Server


- Vendor: Microsoft


- Confirmed Affected Version: Windows Server < 2024-07 Cumulative Update


- Patched Version: Windows Server ≥ 2024-07 Cumulative Update


- Reporter(Advisor): Lewis Lee, Chunyang Han and Zhiniang Peng


- Causes: 본 취약점에 영향을 받는 Remote Desktop Licensing Service에서 사용자에 의해 입력된 License Key Pack 데이터를 디코딩할 때, 디코딩 결과를 저장하기 위한 메모리를 사용자 입력과 관계 없이 고정된 크기인 21바이트로 할당합니다. 사용자가 입력한 License Key Pack 데이터의 디코딩 이후 크기가 21바이트를 초과할 경우, Heap Buffer Overflow가 발생하여 동일한 Heap 내의 인접한 데이터를 덮어쓸 수 있습니다.


CVE-2024-38077 취약점 관련 내용은 보고서 전문을 통해 확인하실 수 있습니다.



✅ 위협 탐지 권장 사항 및 조치 방안:


- 아직 알려진 악용 사례는 존재하지 않으나, 특정 빌드의 Windows Server 2025 Preview를 대상으로 원격 코드 실행이 가능한 PoC 코드의 일부분이 공개되어 있어 주의가 필요합니다.

  • Heap Buffer Overflow 버그를 exploit하는 방법, Windows Heap 및 RPC의 동작 원리에 대한 충분한 지식을 가진 공격자는 비교적 간단하게 공개된 미완성 코드를 실제 공격에 악용 가능한 형태로 완성할 수 있어 빠른 시일 내 악용 시도가 이루어질 것으로 추정됩니다.


- Remote Desktop Licensing Service가 활성화되어 있으며, 2024-07 또는 이후의 누적 업데이트가 적용되지 않은 모든 Windows Server 제품군이 취약한 것으로 알려져 있습니다.


- 취약한 버전의 Windows Server 제품군을 사용하고 있는 경우 최신 버전으로 업데이트할 것을 권장합니다.


- 업데이트가 불가능할 경우 하단의 임시 조치방안에 따라 조치할 것을 권장합니다.

  • Remote Desktop Licensing Service 비활성화: Windows Server를 Remote Desktop Session Host로 활용하는 경우 문제가 발생할 수 있습니다. Remote Desktop Licensing Service가 필요하지 않은 경우, 공격 표면을 최소화하기 위해 업데이트 적용 후에도 비활성화 상태를 유지하는 것을 추천합니다.


자세한 내용은 보고서 전문을 통해 확인 가능하며 필요하신 경우, 아래 링크를 통해 보고서 전문을 문의해 주세요.



🧑‍💻 보고서 작성자: S2W TALON (2024-09-03 기준)


👉 보고서 전문 문의하기: https://s2w.inc/ko/contact


*해당 보고서는 별도 문의 가능하며 S2W의 플랫폼 구독 시 전문으로 제공됩니다.


뉴스 하이라이트
11월 4주차 DDW 위클리 하이라이트
2024.12.05
이전 글
뉴스 하이라이트
12월 1주차 DDW 위클리 하이라이트
2024.12.12
다음 글
목록