MadLicense:Windowsにおける認証不要のRCE脆弱性、PoCがリリース(CVE-2024-38077) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > MadLicense:Windowsにおける認証不要のRCE脆弱性、PoCがリリース(CVE-2024-38077)

Threat Report

PoC

RCE

Silobreaker-CyberAlert

MadLicense:Windowsにおける認証不要のRCE脆弱性、PoCがリリース(CVE-2024-38077)

佐々山 Tacos

佐々山 Tacos

2024.08.13

MadLicense:Windowsにおける認証不要のRCE脆弱性、PoCがリリース(CVE-2024-38077)

Securityonline[.]info – August 11, 2024

Windows Server 2000〜2025に影響を与える脆弱性CVE-2024-38077(CVSSスコア 9.8)のPoCエクスプロイトコード(擬似コード)を、セキュリティ研究者らが公開。「MadLicense」と名付けられた同脆弱性の悪用により、攻撃者はユーザーに何の操作もさせずともサーバーを完全に乗っ取ることができる可能性があるという。

MadLicenseはWindowsリモート デスクトップ ライセンス(RDL)における認証前リモートコード実行の脆弱性。「CDataCoding::DecodeData」プロシージャにおけるヒープオーバーフローに起因するもので、攻撃者は、ユーザーが制御する入力値を改ざんすることによってバッファオーバーフローを引き起こし、RDLサービスのコンテクスト内で任意のコードを実行できるようになる。

今回研究者らはWindows Server 2025でのMadLicenseの悪用に成功しており、悪用成功率はほぼ100%とされる。公開されたエクスプロイトでは、Windows Server 2025に最近実装されたLFHを含むあらゆる緩和措置が効果的にバイパスされるという。研究者らはより古いバージョンのWindows Serverではさらに素早く、効率的に悪用が可能だとしている。また今回のPoCはリモートのDLLをロードするものだが、これを少し修正すればRDLプロセス内で任意のシェルコードを実行することも可能で、その場合攻撃はよりステルス性の高いものになることも明かされた。

研究者らは、最低でも170,000のRDLサービスがインターネットに直接接続された状態だろうと判断している。またこのサービスは、重要なビジネスシステムやリモートデスクトップクラスタに盛り込まれていることが一般的。こうした点から、MadLicenseによる潜在的な影響はかなり大きくなり得ることが懸念されている。今年7月のマイクロソフト月例セキュリティ更新プログラムにおいて修正は済んでいるため、利用者にはパッチの優先適用が推奨される。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ