Informazioni generali
La vulnerabilità “MadLicense” è una RCE (remote code execution) pre-auth che consente agli aggressori di eseguire codice arbitrario su sistemi vulnerabili senza richiedere l’interazione dell’utente.
A differenza di molte vulnerabilità RCE che richiedono una qualche forma di interazione da parte dell’utente, la vulnerabilità CVE-2024-38077 può essere sfruttata senza alcuna azione da parte dell’utente.
Ciò è particolarmente preoccupante dato l’uso diffuso del servizio licenze Desktop remoto che viene spesso distribuito su server con Servizi Desktop remoto abilitati. Il servizio gestisce ed emette licenze per l’accesso al desktop remoto rendendolo un componente fondamentale in molti ambienti aziendali.
Al momento della scrittura di questo articolo non è presente una patch, pertanto si consiglia di disabilitare il servizio. I prodotti Microsoft soggetti a questa vulnerabilità vanno dalla versione 2000 alla 2025.
Link di interesse: MRSC.
Exploit
La vulnerabilità MadLicense consiste in un buffer overflow dell’heap di memoria nella procedura CDataCoding::DecodeData. Manipolando l’input gli attaccanti possono innescare un buffer overflow, portando all’esecuzione di codice arbitrario nel contesto del servizio RDL.
I ricercatori (Lewis Lee, Chunyang Han and Zhiniang Peng) hanno dimostrato con successo un exploit POC (proof-of-concept) su Windows Server 2025, ottenendo una percentuale di successo vicina al 100%. L’exploit aggira efficacemente tutte le mitigazioni contemporanee, comprendendo la mitigazione LFH recentemente introdotta in Windows Server 2025.
POC
A quanto pare sembra essere presente su GitHub una POC: tuttavia è bene far presente che si tratta di pseudocode con il quale non si può neanche triggerare il bug.
La patch di aggiornamento sarà rilasciata con il prossimo mese.
EOF