Spoločnosť Microsoft opravila vo svojom aprílovom balíku aktualizácií Patch Tuesday kritickú zraniteľnosť s službe MSMQ, ktorá umožňuje vzdialené vykonávanie kódu. Jej zneužitie nevyžaduje interakciu používateľa a nie je technicky náročné. Zraniteľnosť dostala pomenovanie QueueJumper.

Zraniteľné systémy:

Všetky verzie OS Microsoft Windows, vrátane verzií pre servery.

Opis činnosti:

CVE-2023-21554 (CVSS v3 9,8)

Spoločnosť Microsoft opravila vo svojom aprílovom balíku Patch Tuesday kritickú zraniteľnosť v službe Windows Message Queuing (MSMQ) nazvanú QueueJumper, ktorá umožňuje aplikáciám v OS Windows efektívne komunikovať po sieti. Zneužitie tejto zraniteľnosti umožní neautorizovanému útočníkovi vzdialene vykonávať kód v kontexte procesu mqsvc.exe odoslaním špeciálne upraveného MSMQ paketu. Útok nie je technicky náročný a nevyžaduje interakciu používateľa.

Služba je prítomná vo všetkých verziách OS Windows, vrátane systémov pre servery. Prednastavene je vypnutá, no zvykne byť spustená pri inštalácii rôznych legitímnych aplikácií (napríklad Microsoft Exchange Server).

Zraniteľnosť objavili bezpečnostní výskumníci Wayne Low z FortiGuard Lab a Haifei Li z Check Point Research.

CVE-2023-21769 (CVSS v3 7,5), CVE-2023-28302 (CVSS v3 7,5)

Spoločnosť Microsoft opravila aj ďalšie dve chyby zabezpečenia v službe MSMQ. Obe umožňujú neautentifikovanému útočníkovi spôsobiť pád aplikácie alebo jadra OS (DoS).

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Vzdialené vykonávanie kódu
  • Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná inštalácia bezpečnostnej aktualizácie.

Ak aktualizácia nie je možná, zraniteľnosť je možné mitigovať zakázaním služby Message Queuing alebo blokovaním komunikácie z nedôveryhodných zdrojov na porte 1801/tcp.

Odkazy:

https://research.checkpoint.com/2023/queuejumper-critical-unauthorized-rce-vulnerability-in-msmq-service/

https://www.bleepingcomputer.com/news/security/windows-admins-warned-to-patch-critical-msmq-queuejumper-bug/

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554

https://nvd.nist.gov/vuln/detail/CVE-2023-21554

Zdroj: csirt.gov.sk