### Уязвимость MadLicense угрожает Windows Server: исследователи выпустили PoC-эксплойт
Недавно выпущенный proof-of-concept (PoC) эксплойт привлек внимание к критической уязвимости нулевого клика удаленного выполнения кода (RCE), затрагивающей Windows Server. Эта уязвимость, идентифицированная как CVE-2024-38077, охватывает широкий спектр версий Windows Server, начиная с 2000 года и заканчивая последней превью-версией для 2025 года. Уязвимость находится в службе лицензирования удаленного рабочего стола Windows, которая важна для управления и выдачи лицензий на удаленный доступ в многих бизнес-средах.
Уязвимость, неофициально названная «MadLicense», вызывает особую озабоченность из-за своей способности быть использованной без какого-либо взаимодействия с пользователем. В отличие от многих RCE-уязвимостей, требующих какого-либо действия со стороны пользователя, CVE-2024-38077 позволяет злоумышленникам выполнять произвольный код на уязвимых системах без усилий. Эта характеристика увеличивает риск, особенно учитывая широкое распространение службы лицензирования удаленного рабочего стола в различных организациях.
В основе этой уязвимости лежит проблема переполнения кучи в функции CDataCoding::DecodeData, которая неправильно обрабатывает ввод контролируемый пользователем, что приводит к состоянию переполнения буфера. PoC-эксплойт, разработанный исследователями Вер, Льюисом Ли и Чжиниангом Пенгом, демонстрирует, как эта уязвимость может быть использована для обхода современных мер безопасности в Windows Server 2025, в конечном итоге достигая полного удаленного выполнения кода.
Эксплойт функционирует путем манипулирования службой лицензирования для загрузки удаленной DLL, что позволяет злоумышленникам выполнять произвольный шеллкод в процессе службы. Хотя PoC представлен в псевдокоде и намеренно запутан для предотвращения злоупотреблений, он подчеркивает серьезность уязвимости и потенциал для эксплуатации.
С более чем 170 000 служб лицензирования удаленного рабочего стола, открытых для публичного интернета, последствия этой уязвимости значительны. Ее нулевой клик характер усугубляет угрозу, так как она может быть использована без какого-либо взаимодействия с пользователем, увеличивая вероятность широкомасштабных атак.
Microsoft была уведомлена о возможности эксплуатации этой уязвимости, но первоначально классифицировала ее как «менее вероятную для эксплуатации». Тем не менее, исследователи по безопасности подчеркивают важность своевременного патчирования затронутых систем для предотвращения потенциальной эксплуатации. Они подчеркивают: «Мы демонстрируем, как одна уязвимость была использована для обхода всех мер безопасности и достижения атаки RCE до аутентификации на Windows Server 2025, который считается самым безопасным Windows Server».
Для снижения рисков организациям рекомендуется применять последние обновления безопасности от Microsoft. Кроме того, сетевым администраторам следует рассмотреть возможность внедрения дополнительных мер безопасности, таких как сегментация сети и строгий контроль доступа, чтобы минимизировать поверхность атаки.
Исследователи, участвовавшие в этом открытии, придерживались практик ответственного раскрытия информации, делясь деталями об уязвимости и ее эксплуатационности с Microsoft. Их цель — повысить осведомленность о рисках, связанных с этой уязвимостью, и побудить к быстрому принятию мер для защиты затронутых систем.
Хотя в настоящее время нет известных эксплойтов для уязвимости CVE-2024-38077 в обращении, Microsoft выпустила патч. Крайне важно для пользователей применить это обновление для эффективного снижения потенциальных рисков.
