Ein Proof-of-Concept (PoC) Exploit für die kritische Sicherheitslücke CVE-2024-38077, auch bekannt als „MadLicense“, wurde von den Sicherheitsforschern Ver, Lewis Lee und Zhiniang Peng veröffentlicht. Diese Sicherheitslücke betrifft alle Versionen von Windows Server von 2000 bis 2025 und ermöglicht eine Pre-Authentication Remote Code Execution (RCE) ohne jegliche Nutzerinteraktion. Angreifer können diese Lücke nutzen, um die vollständige Kontrolle über den betroffenen Server zu übernehmen.
Die Sicherheitslücke liegt im Windows Remote Desktop Licensing Service (RDL), der weit verbreitet in Unternehmensumgebungen zur Lizenzverwaltung für Remote Desktop Services eingesetzt wird. Eine Untersuchung ergab, dass mindestens 170.000 RDL-Dienste direkt im Internet exponiert sind, was die Verwundbarkeit für Angriffe erheblich erhöht.
Der Exploit nutzt einen einfachen Heap Overflow im Verfahren CDataCoding::DecodeData, um eine Codeausführung im Kontext des RDL-Dienstes zu erreichen. Obwohl der PoC hauptsächlich auf Windows Server 2025 demonstriert wurde, betonten die Forscher, dass ältere Windows-Server-Versionen aufgrund geringerer Schutzmaßnahmen noch anfälliger für diese Art von Angriffen sind.
Microsoft wurde im Mai 2024 über die Schwachstelle informiert und hat sie im Juli 2024 gepatcht. Dennoch wurde sie zunächst als „Exploitation Less Likely“ eingestuft, was auf ein mögliches Unterschätzen der Bedrohung hinweist. Organisationen wird dringend geraten, ihre Systeme umgehend zu aktualisieren, um sich gegen potenzielle Angriffe zu schützen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: