เมนู

พบช่องโหว่การรันโค้ดระยะไกลใน Remote Desktop Licensing Service ของ Windows

วรเมธ บุญทศ | 12 กรกฏาคม 2567

พบช่องโหว่การรันโค้ดระยะไกลใน Remote Desktop Licensing Service ของ Windows

รายละเอียด

CVE-2024-38076 ช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันโค้ดอันตรายบนเครื่องที่รันบริการ Remote Desktop Licensing Service จากระยะไกล ซึ่งเป็นอันตรายร้ายแรงเพราะอาจทำให้ผู้โจมตีควบคุมระบบทั้งหมดได้ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยส่งข้อความที่ถูกจัดรูปแบบพิเศษไปยังบริการ Remote Desktop Licensing Service หากประสบความสำเร็จ ผู้โจมตีสามารถรันโค้ดใดๆ บนระบบเป้าหมายได้

รายละเอียดเชิงเทคนิค

ประเภทช่องโหว่: การรันโค้ดระยะไกล (RCE)
ซอฟต์แวร์ที่ได้รับผลกระทบ: บริการ Remote Desktop Licensing Service ของ Windows
ความรุนแรง: ช่องโหว่นี้ได้รับการจัดอันดับความรุนแรงเป็น “Critical” เนื่องจากสามารถถูกโจมตีได้จากระยะไกลโดยไม่ต้องมีการตรวจสอบสิทธิ์ (คะแนน CVSS 9.8)
วิธีการโจมตี:
ผู้โจมตีสามารถส่งแพ็กเก็ตที่สร้างขึ้นเป็นพิเศษไปยังเซิร์ฟเวอร์ที่ตั้งค่าเป็น Remote Desktop Licensing server ซึ่งจะทำให้สามารถสั่งการโค้ดจากระยะไกลได้
ผลกระทบ: หากการโจมตีสำเร็จ ผู้โจมตีอาจได้รับสิทธิ์ควบคุมเซิร์ฟเวอร์ที่ได้รับผลกระทบอย่างสมบูรณ์

คำแนะนำและวิธีแก้ไข CVE-2024-38076

  1. ติดตั้งแพตช์อัปเดต: Microsoft ได้เผยแพร่แพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่นี้แล้ว ดาวน์โหลดและติดตั้งแพตช์อัปเดตจาก Microsoft Update Catalog หรือ Windows Update โดยเร็วที่สุด ตรวจสอบให้แน่ใจว่าคุณได้ติดตั้งแพตช์อัปเดตสำหรับระบบปฏิบัติการ Windows Server ทุกเวอร์ชันที่ได้รับผลกระทบ
  2. ปิดการใช้งาน Remote Desktop Licensing Service (หากไม่จำเป็น): หากคุณไม่ได้ใช้บริการ Remote Desktop Licensing Service ให้ปิดการใช้งานเพื่อลดพื้นผิวการโจมตีไปที่ “Server Manager” > “Remote Desktop Services” > “Overview” > “RD Licensing” แล้วคลิกขวาที่เซิร์ฟเวอร์ RD Licensing แล้วเลือก “Deactivate Server”
  3. ใช้ไฟร์วอลล์: กำหนดค่าไฟร์วอลล์เพื่อบล็อกการรับส่งข้อมูลไปยังพอร์ต TCP 3389 (พอร์ตเริ่มต้นสำหรับ Remote Desktop Protocol) จากแหล่งที่ไม่น่าเชื่อถือพิจารณาใช้ไฟร์วอลล์ระดับแอปพลิเคชันเพื่อเพิ่มความปลอดภัยอีกชั้น
  4. ตรวจสอบบันทึกเหตุการณ์: ตรวจสอบบันทึกเหตุการณ์ของระบบ Windows เพื่อหาสัญญาณของกิจกรรมที่น่าสงสัยที่อาจเกี่ยวข้องกับช่องโหว่นี้หากพบกิจกรรมที่น่าสงสัย ให้ตรวจสอบเพิ่มเติมและดำเนินการตามความเหมาะสม
  5. ใช้หลักการ Least Privilege: ให้สิทธิ์ผู้ใช้เฉพาะสิทธิ์ที่จำเป็นสำหรับการทำงานเท่านั้น เพื่อลดความเสี่ยงหากเกิดการโจมตีที่ประสบความสำเร็จ
  6. อัปเดตซอฟต์แวร์ป้องกันไวรัสและซอฟต์แวร์ป้องกันมัลแวร์: ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ป้องกันไวรัสและซอฟต์แวร์ป้องกันมัลแวร์ของคุณเป็นรุ่นล่าสุดและมีการกำหนดค่าอย่างเหมาะสมสแกนระบบของคุณเป็นประจำเพื่อตรวจหาและกำจัดมัลแวร์
  7. พิจารณาใช้โซลูชันการตรวจจับและตอบสนองต่อปลายทาง (EDR): โซลูชัน EDR สามารถช่วยตรวจจับและตอบสนองต่อภัยคุกคามได้รวดเร็วและมีประสิทธิภาพมากขึ้น
  8. สำรองข้อมูล: สำรองข้อมูลสำคัญของคุณเป็นประจำเพื่อให้สามารถกู้คืนได้ในกรณีที่ระบบของคุณถูกโจมตี

รายละเอียดของระบบที่ได้รับผลกระทบ

Windows Server 2016
KB Article : 5040434 (Security Update)

Windows Server 2016 (Server Core installation)
KB Article : 5040434 (Security Update)

Windows Server 2019
KB Article : 5040430 (Security Update)

Windows Server 2019 (Server Core installation)
KB Article : 5040430 (Security Update)

Windows Server 2022
KB Article : 5040437 (Security Update)

Windows Server 2022 (Server Core installation)
KB Article : 5040437 (Security Update)

Windows Server 2022, 23H2 Edition (Server Core installation)
KB Article : 5040438 (Security Update)

ข้อมูลอ้างอิง

CVE-2024-38076 Detail | nist.gov
Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability | microsoft
Vulnerability Details : CVE-2024-38076 | cvedetails