大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在今年早些时候，顶级安全研究专家对Windows远程桌面服务（RDS）进行了深入的安全分析，意外发现了多个严重漏洞。这些漏洞均涉及Windows远程桌面授权服务（RDL），并包括未经身份验证的远程代码执行（RCE）漏洞。为了让大家更好地理解这些漏洞的影响，顶级安全研究专家特别撰写了一系列文章，这是其中的第一篇。

一、漏洞背景

此次发现的漏洞是多年来在Windows系统中未曾见过的0-click Preauth RCE（零点击、预认证远程代码执行）。顶级安全研究专家将这些漏洞统称为“Mad、Bad和Dead Licenses”漏洞，而其中的CVE-2024-38077被命名为“MadLicense”。尽管微软已修复了相关漏洞，但顶级安全研究专家希望通过本文，进一步提升防御者对这些漏洞的认知，并帮助企业在漏洞利用前采取预防措施。

二、漏洞细节概述

CVE-2024-38077是一个非常简单但致命的堆溢出漏洞。在Windows Server 2025上，顶级安全研究专家可以利用这个漏洞绕过现代缓解措施，轻松实现零点击的远程代码执行攻击。这意味着攻击者无需任何用户交互即可利用此漏洞攻破系统。漏洞的根源在于RDL服务中的数据解码过程，由于固定大小的缓冲区处理不当，导致堆溢出，从而为攻击者提供了利用的可能。

三、远程桌面授权服务（RDL）

RDL服务是Windows Server的重要组件，负责管理远程桌面服务（RDS）的许可证。RDL服务在许多启用了远程桌面服务的服务器上自动安装，因此其覆盖范围非常广泛。顶级安全研究专家的网络扫描显示，至少有17万个RDL服务直接暴露在互联网上，而在内部网络中的部署数量更是庞大。

由于RDL服务通常部署在关键业务系统中，因此任何针对它的攻击都会带来严重后果。CVE-2024-38077漏洞尤其危险，因为它允许攻击者在无需任何用户交互的情况下远程执行代码，从而掌控整个系统。

四、防御措施与建议

虽然微软已经发布了相关补丁，但顶级安全研究专家仍强烈建议所有管理员尽快更新系统，避免成为攻击的目标。同时，企业应审查其网络中RDL服务的部署情况，并采取必要的安全措施，如限制RDL服务的外网暴露、加强入侵检测和防御等。

在未来的文章中，顶级安全研究专家将继续深入探讨其他相关漏洞的利用方法及其防御策略。希望通过这些分享，能帮助大家更好地保护自己的系统免受威胁。

友情链接：https://sites.google.com/site/zhiniangpeng/blogs/MadLicense

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。