Windows-Administratoren haben gewarnt, den kritischen MSMQ-QueueJumper-Fehler zu beheben

Sicherheitsforscher und -experten warnen vor einer kritischen Schwachstelle im Windows Message Queuing (MSMQ)-Middleware-Dienst, der von Microsoft am Patchday dieses Monats gepatcht wurde und Hunderttausende von Systemen Angriffen aussetzt.

MSMQ ist auf allen Windows-Betriebssystemen als optionale Komponente verfügbar, die Anwendungen Netzwerkkommunikationsfunktionen mit „garantierter Nachrichtenzustellung“ bereitstellt und über PowerShell oder Systemsteuerung aktiviert werden kann.

Der Fehlschlag (CVE-2023-21554) ermöglicht es nicht authentifizierten Angreifern, Remotecodeausführung auf nicht gepatchten Windows-Servern zu erreichen, indem sie speziell gestaltete bösartige MSMQ-Pakete in Angriffen mit geringer Komplexität verwenden, die keine Benutzerinteraktion erfordern.

Die Liste der betroffenen Windows-Server- und -Client-Versionen umfasst alle derzeit unterstützten Versionen bis zu den neuesten Versionen, Windows 11 22H2 und Windows Server 2022.

Redmond fügte CVE-2023-21554 auch ein „wahrscheinlichere Ausnutzung“-Tag hinzu, da es „sich bewusst ist, dass frühere Fälle dieser Art von Schwachstelle ausgenutzt wurden“, was es „zu einem attraktiven Ziel für Angreifer“ macht.

„Daher sollten Kunden, die das Sicherheitsupdate überprüft und seine Anwendbarkeit in ihrer Umgebung festgestellt haben, dies mit höherer Priorität angehen“, sagte Microsoft. warnt.

Den Sicherheitsforschern Wayne Low vom FortiGuard Lab von Fortinet und Haifei Li von Check Point Research wurde zugeschrieben, Microsoft den Fehler gemeldet zu haben.

​Mehr als 360.000 MSMQ-Server Angriffen ausgesetzt

Check Point Research teilte auch zusätzliche Details zu den möglichen Auswirkungen von CVE-2023-21554 mit und behauptete, über 360.000 dem Internet ausgesetzte Server gefunden zu haben, auf denen der MSMQ-Dienst ausgeführt wird und die möglicherweise anfällig für Angriffe sind.

Die Zahl ungepatchter Systeme ist wahrscheinlich viel höher, da die Schätzung von Check Point Research keine Geräte enthält, auf denen der MSMQ-Dienst ausgeführt wird und auf die nicht über das Internet zugegriffen werden kann.

Obwohl dies eine optionale Windows-Komponente ist, die auf den meisten Systemen standardmäßig nicht aktiviert ist, da es sich um einen Middleware-Dienst handelt, der von anderer Software verwendet wird, wird der Dienst normalerweise im Hintergrund aktiviert, wenn die Installation von Unternehmensanwendungen und wird bleiben Auch nach der Deinstallation von Apps.

Beispielsweise entdeckte Check Point Research, dass MSMQ während der Installation von Exchange Server automatisch aktiviert wird.

„CPR hat festgestellt, dass bei der Installation des offiziellen Microsoft Exchange Servers der Setup-Assistent den MSMQ-Dienst im Hintergrund aktiviert, wenn der Benutzer die von Microsoft empfohlene Option „Windows Server-Rollen und -Features automatisch installieren, die für die Installation von Exchange erforderlich sind“ auswählt.“ , sagten die Forscher.

„Der wichtige Punkt, an den man sich erinnern sollte, ist, dass der Angreifer, wenn MSMQ auf einem Server aktiviert ist, möglicherweise diese Schwachstelle oder jede andere MSMQ-Schwachstelle ausnutzen und die Kontrolle über den Server übernehmen könnte.“

Seit Dienstag ist das Cyber-Intelligence-Unternehmen GreyNoise an den Start gegangen Verfolgen von MSMQ-Anmeldeversuchenund es zeigt derzeit zehn verschiedene IP-Adressen, die bereits begonnen haben, nach Servern zu suchen, die dem Internet ausgesetzt sind.

Während Microsoft diesen Fehler und 96 weitere Sicherheitslücken bereits im Rahmen des April-Patches am Dienstag behoben hat, riet es Administratoren, die den Patch nicht sofort bereitstellen können, auch, den Windows-MSMQ-Dienst (falls möglich) zu deaktivieren, um den Angriffsvektor zu entfernen.

„Sie können überprüfen, ob ein Dienst namens Message Queuing ausgeführt wird und ob der TCP-Port 1801 auf dem Computer lauscht“, Microsoft genannt.

Organisationen, die MSMQ nicht sofort deaktivieren oder den Fix von Microsoft bereitstellen können, können auch 1801/TCP-Verbindungen von nicht vertrauenswürdigen Quellen mithilfe von Firewallregeln blockieren.