Skip to main content
Hermes Banner 1
DIABASTE DWREAN SEC CYP 12
DIGITAL TV 190
ilka aggelia
19 Απριλίου 2023 10:41

Κρίσιμο μη εξουσιοδοτημένο θέμα ευπάθειας RCE στην υπηρεσία MSMQ

admin ajax.php?action=kernel&p=image&src=%7B%22file%22%3A%22wp content%2Fuploads%2F2023%2F01%2Fcheck point

Η Check Point Research ανακάλυψε πρόσφατα τρία θέματα ευπάθειας στην υπηρεσία “Microsoft Message Queuing”, κοινώς γνωστή ως MSMQ. Η Microsoft ενημερώθηκε για αυτά και τα επιδιόρθωσε κατά την ενημέρωση κώδικα April Patch Tuesday. Η πιο σοβαρή από αυτές τις ευπάθειες, που ονομάστηκε QueueJumper από το CPR (CVE-2023-21554), είναι μια κρίσιμη ευπάθεια που θα μπορούσε να επιτρέψει σε μη εξουσιοδοτημένους εισβολείς να  εκτελέσουν εξ αποστάσεως αυθαίρετο κώδικα στο πλαίσιο της διαδικασίας υπηρεσίας των Windows mqsvc.exe.

Η Check Point Research (CPR) παρουσιάζει το θέμα στο ιστολόγιο της, μετά την εφαρμογή της ενημέρωσης κώδικα, για να αυξήσει την ευαισθητοποίηση σχετικά με αυτήν την κρίσιμη ευπάθεια και να παρέχει αμυντικές πληροφορίες και συστάσεις μετριασμού για τους χρήστες των Windows. Θα κυκλοφορήσουμε τις πλήρεις τεχνικές λεπτομέρειες αργότερα αυτό το μήνα, δίνοντας στους χρήστες χρόνο να επιδιορθώσουν τα μηχανήματά τους πριν αποκαλύψουμε δημόσια τις τεχνικές λεπτομέρειες.

Βασικά ευρήματα

 Ανακαλύφθηκαν τρεις ευπάθειες στην υπηρεσία MSMQ, οι οποίες επιδιορθώθηκαν κατά την ενημέρωση κώδικα April Patch Tuesday:

CVE-2023-21554 (QueueJumper) — Μη εξουσιοδοτημένη, εξ αποστάσεως εκτέλεση κώδικα

CVE-2023-21769 — Μη εξουσιοδοτημένη, εξ αποστάσεως Εφαρμογή Level DoS (διακοπή λειτουργίας υπηρεσίας)

CVE-2023-28302 — Μη εξουσιοδοτημένο, εξ αποστάσεως Kernel Level DoS (Windows BSOD)

Η πιο σημαντική ευπάθεια επιτρέπει σε μη εξουσιοδοτημένους εισβολείς να εκτελούν αυθαίρετο κώδικα στο πλαίσιο της διαδικασίας υπηρεσίας των Windows, mqsvc.exe.

Το MSMQ παρέχεται ως προαιρετικό στοιχείο των Windows και  εξακολουθεί να είναι διαθέσιμο σε όλα τα λειτουργικά συστήματα Windows, συμπεριλαμβανομένων των πιο πρόσφατων Windows Server 2022 και Windows 11 

fd

MSMQ

Σύμφωνα με τη Microsoft, Microsoft Message Queuing (“MSMQ” για συντομία),

Τα πιο πρόσφατα έγγραφα της Microsoft που συζητούν την υπηρεσία ενημερώθηκαν το 2016. Ορισμένοι ειδικοί του MSMQ δημοσίευσαν μια ανάρτηση ιστολογίου τον Ιανουάριο του 2020 διερευνώντας την τάση συνταξιοδότησης της υπηρεσίας. Παρά το γεγονός ότι θεωρείται «ξεχασμένη» ή «παλαιού τύπου» υπηρεσία, το MSMQ εξακολουθεί να είναι διαθέσιμο σε όλα τα λειτουργικά συστήματα Windows, συμπεριλαμβανομένων των πιο πρόσφατων Windows Server 2022 και Windows 11 και παρέχεται ως προαιρετικό στοιχείο των Windows. Οι χρήστες μπορούν εύκολα να ενεργοποιήσουν την υπηρεσία  μέσω του Control Panel ή μέσω της εντολής PowerShell “Install-WindowsFeature  MSMQ-Services“.

Η QueueJumper Ευπάθεια

Η  ευπάθεια CVE-2023-21554 επιτρέπει σε  έναν εισβολέα να εκτελέσει ενδεχομένως κώδικα εξ αποστάσεως και  χωρίς εξουσιοδότηση, μεταβαίνοντας στη θύρα TCP 1801. Με άλλα λόγια, ένας εισβολέας θα μπορούσε να κερδίσει έλεγχο στη διαδικασία μέσω ενός και μόνο πακέτου  στο 1801/ tcp port με την εκμετάλλευση, ενεργοποιώντας την ευπάθεια.

Ο αντίκτυπος

Τώρα γνωρίζουμε ότι ο φορέας επίθεσης στέλνει πακέτα στη θύρα υπηρεσίας 1801/tcp.  Προκειμένου να κατανοήσουμε  καλύτερα τον πιθανό αντίκτυπο αυτής της  υπηρεσίας στον πραγματικό κόσμο, η CPR έκανε μια πλήρη σάρωση στο Internet. Παραδόξως, διαπιστώσαμε ότι περισσότερες από ~ 360.000 IP έχουν το 1801/tcp ανοιχτό στο Internet και εκτελούν την υπηρεσία MSMQ.

Σημειώστε ότι αυτό περιλαμβάνει μόνο τον αριθμό των κεντρικών υπολογιστών που αντιμετωπίζουν  το Internet και  δεν λαμβάνει υπόψη  τους υπολογιστές που φιλοξενούν την υπηρεσία  MSMQ σε εσωτερικά δίκτυα, όπου ο αριθμός θα πρέπει να είναι πολύ μεγαλύτερος.

Η υπηρεσία MSMQ είναι μια υπηρεσία “ενδιάμεσου λογισμικού”, στην οποία βασίζεται κάποιο δημοφιλές λογισμικό.  Όταν ο χρήστης εγκαταστήσει το δημοφιλές λογισμικό,  η υπηρεσία MSMQ ενεργοποιείται στα Windows, κάτι που μπορεί να γίνει χωρίς τη γνώση του χρήστη.

Προστασία & Μετριασμός

Συνιστούμε σε όλους τους διαχειριστές των Windows να ελέγχουν τους διακομιστές και τους υπολογιστές-πελάτες τους για να δουν εάν είναι εγκατεστημένη η υπηρεσία MSMQ. Μπορείτε να ελέγξετε εάν εκτελείται μια υπηρεσία με το όνομα “‘Message Queuing’” και η θύρα TCP 1801 εκτελεί ακρόαση στον υπολογιστή. Εάν είναι εγκατεστημένο, ελέγξτε ξανά αν το χρειάζεστε. Το κλείσιμο περιττών επιφανειών επίθεσης είναι πάντα μια πολύ καλή πρακτική ασφαλείας .

Για αυτήν τη συγκεκριμένη ευπάθεια συνιστούμε στους χρήστες να εγκαταστήσουν την επίσημη ενημερωμένη έκδοση κώδικα της Microsoft  το συντομότερο δυνατό. Εάν η επιχείρησή σας απαιτεί MSMQ, αλλά δεν είναι σε θέση να εφαρμόσει την ενημερωμένη έκδοση κώδικα της Microsoft αυτήν τη στιγμή, μπορείτε, ως λύση, να αποκλείσετε τις εισερχόμενες συνδέσεις για το 1801/tcp  από μη αξιόπιστες πηγές με κανόνες Firewall (για  παράδειγμα, αποκλεισμός συνδέσεων Internet  στο 1801/tcp για υπολογιστές με πρόσβαση στο Internet).

Το Check Point IPS έχει αναπτύξει μια υπογραφή με το όνομα “Microsoft Message Queuing Remote Code Execution (CVE-2023-21554)” για τον εντοπισμό και την προστασία των πελατών της Check Point Software από την ευπάθεια QueueJumper. 

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Οκτώβριος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Οκτωβρίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμές...
Κέντρα Λήψης Σημάτων και Λογισμικά Επιτήρησης
Τα συστήματα συναγερμού και τα συστήματα πυρανίχνευσης έχουν έναν και μόνο σκοπό: να ενημερώνουν για μία διάρρηξη, φωτιά ή κατάσταση έκτακτης ανάγκης με αποτέλεσμα να αναλάβουν δράση οι ιδιοκτήτες...
Hikvision Smart Hybrid Light
Η νέα σειρά αναλογικών καμερών 1080p D0T-LTS της Hikvision μάς εισάγει στο Turbo HD 8.0 με νέα χαρακτηριστικά που ξεχωρίζουν, όπως η δυνατότητα αμφίδρομης επικοινωνίας (Two-way-Audio) και ο διπλός...
ELDES ESIM320
Το ESIM320 της ELDES είναι ένας gate controler σχεδιασμένος να προσφέρει προστασία και άνεση στη διαχείριση πύλης και άλλων ηλεκτρονικών συσκευών. Μπορεί να τοποθετηθεί σε οποιοδήποτε είδος κτιρίο...
OPTEX AP-SERIES
Η σειρά αισθητήρων ανιχνευτών εισβολής AP της OPTEX αποτελεί μία πρόσθετη λύση ασφάλειας για όσους θέλουν να αναβαθμίσουν τον εσωτερικό τους χώρο προσθέτοντας ένα ακόμα επίπεδο ασφαλείας στο σύστη...

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report Cyprus, Τεύχος 13
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Cyprus! Στο νέο τεύχος 13 του Security Report Cyprus θα βρείτε ενδιαφέροντα θέματα και δοκιμές που απευθύνονται σ...
AI κάμερες και καταγραφικά
Σε μια εποχή που προσδιορίζεται από την ταχεία τεχνολογική πρόοδο και εξέλιξη, η τεχνητή νοημοσύνη λειτουργεί ως game changer, επαναπροσδιορίζοντας τον κλάδο της ασφάλειας, πόσω μάλλον αυτόν της β...
Hikvision Smart Hybrid
Οι συμβατικές υπέρυθρες κάμερες παρέχουν ασπρόμαυρες εικόνες, συνήθως με αποτέλεσμα την απώλεια κρίσιμων λεπτομερειών. Από την άλλη, οι κάμερες με ενσωματωμένο white light (λευκό φωτισμό) μπορεί ν...
Cubis VMS
Το λογισμικό Cubis VMS αποτελεί μια προηγμένη λύση για την παρακολούθηση και διαχείριση του καταγεγραμμένου βίντεο από τις κάμερες ασφαλείας σας και έρχεται με καινοτόμες λειτουργίες, σχεδιασμένες...
Ruijie-Reyee Cloud AI Heatmap
Μια κύρια παροχή που χρειαζόμαστε όλοι όσον αφορά στην εργασία μας, είτε αυτή είναι στο εξ αποστάσεως, στο σπίτι, το γραφείο ή σε κάποιον ενοικιαζόμενο - προσωρινό επαγγελματικό χώρο, δεν είναι πλ...
Οι μεγαλύτερες τάσεις CCTV για το 2024
Στον κόσμο της βιντεοεπιτήρησης παρατηρείται ραγδαία εξέλιξη την τελευταία δεκαετία, με τις καινοτομίες στην τεχνολογία να έχουν διαδραματίσει σπουδαίο ρόλο στην εν λόγω ανάπτυξη. Ταυτόχρονα, ο το...
Ανίχνευση Ομοιότητας
Σήμερα, όλο και περισσότερες εταιρείες αποκτούν μεγαλύτερη αξία εφαρμόζοντας στα συστήματα παρακολούθησης βίντεο που χρησιμοποιούν λογισμικά ανάλυσης βίντεο βασισμένα σε τεχνητή νοημοσύνη. Οι εν λ...
Αναβάθμιση του χρηματοπιστωτικού τομέα
Οι τράπεζες και τα χρηματοπιστωτικά ιδρύματα αποτελούν σημαντικό κομμάτι της καθημερινότητάς μας, καθώς πρόκειται για εγκαταστάσεις όπου φυλάσσονται μετρητά και άλλα τιμαλφή σε μεγάλες ποσότητες. ...