Έρευνα: Haifei Li
Συνοπτική παρουσίαση
Η Check Point Research ανακάλυψε πρόσφατα τρία θέματα ευπάθειας στην υπηρεσία “Microsoft Message Queuing”, κοινώς γνωστή ως MSMQ. Η Microsoft ενημερώθηκε για αυτά και τα επιδιόρθωσε κατά την ενημέρωση κώδικα April Patch Tuesday. Η πιο σοβαρή από αυτές τις ευπάθειες, που ονομάστηκε QueueJumper από το CPR (CVE-2023-21554), είναι μια κρίσιμη ευπάθεια που θα μπορούσε να επιτρέψει σε μη εξουσιοδοτημένους εισβολείς να εκτελέσουν εξ αποστάσεως αυθαίρετο κώδικα στο πλαίσιο της διαδικασίας υπηρεσίας των Windows mqsvc.exe.
Η Check Point Research (CPR) παρουσιάζει το θέμα στο ιστολόγιο της, μετά την εφαρμογή της ενημέρωσης κώδικα, για να αυξήσει την ευαισθητοποίηση σχετικά με αυτήν την κρίσιμη ευπάθεια και να παρέχει αμυντικές πληροφορίες και συστάσεις μετριασμού για τους χρήστες των Windows. Θα κυκλοφορήσουμε τις πλήρεις τεχνικές λεπτομέρειες αργότερα αυτό το μήνα, δίνοντας στους χρήστες χρόνο να επιδιορθώσουν τα μηχανήματά τους πριν αποκαλύψουμε δημόσια τις τεχνικές λεπτομέρειες.
Βασικά ευρήματα
Ανακαλύφθηκαν τρεις ευπάθειες στην υπηρεσία MSMQ, οι οποίες επιδιορθώθηκαν κατά την ενημέρωση κώδικα April Patch Tuesday:
CVE-2023-21554 (QueueJumper) — Μη εξουσιοδοτημένη, εξ αποστάσεως εκτέλεση κώδικα
CVE-2023-21769 — Μη εξουσιοδοτημένη, εξ αποστάσεως Εφαρμογή Level DoS (διακοπή λειτουργίας υπηρεσίας)
CVE-2023-28302 — Μη εξουσιοδοτημένο, εξ αποστάσεως Kernel Level DoS (Windows BSOD)
Η πιο σημαντική ευπάθεια επιτρέπει σε μη εξουσιοδοτημένους εισβολείς να εκτελούν αυθαίρετο κώδικα στο πλαίσιο της διαδικασίας υπηρεσίας των Windows, mqsvc.exe.
Το MSMQ παρέχεται ως προαιρετικό στοιχείο των Windows και εξακολουθεί να είναι διαθέσιμο σε όλα τα λειτουργικά συστήματα Windows, συμπεριλαμβανομένων των πιο πρόσφατων Windows Server 2022 και Windows 11
MSMQ
Σύμφωνα με τη Microsoft, Microsoft Message Queuing (“MSMQ” για συντομία),
“είναι μια υποδομή μηνυμάτων και μια πλατφόρμα ανάπτυξης για τη δημιουργία κατανεμημένων, χαλαρά συνδεδεμένων εφαρμογών ανταλλαγής μηνυμάτων για το λειτουργικό σύστημα Microsoft® Windows®. Οι εφαρμογές Message Queuing μπορούν να χρησιμοποιήσουν την υποδομή Message Queuing για να επικοινωνούν μεταξύ ετερογενών δικτύων και με υπολογιστές που ενδέχεται να είναι εκτός σύνδεσης. To Message Queuing παρέχει εγγυημένη παράδοση μηνυμάτων, αποτελεσματική δρομολόγηση, ασφάλεια, υποστήριξη συναλλαγών και ανταλλαγή μηνυμάτων βάσει προτεραιότητας.
Τα πιο πρόσφατα έγγραφα της Microsoft που συζητούν την υπηρεσία ενημερώθηκαν το 2016. Ορισμένοι ειδικοί του MSMQ δημοσίευσαν μια ανάρτηση ιστολογίου τον Ιανουάριο του 2020 διερευνώντας την τάση συνταξιοδότησης της υπηρεσίας. Παρά το γεγονός ότι θεωρείται «ξεχασμένη» ή «παλαιού τύπου» υπηρεσία, το MSMQ εξακολουθεί να είναι διαθέσιμο σε όλα τα λειτουργικά συστήματα Windows, συμπεριλαμβανομένων των πιο πρόσφατων Windows Server 2022 και Windows 11 και παρέχεται ως προαιρετικό στοιχείο των Windows. Οι χρήστες μπορούν εύκολα να ενεργοποιήσουν την υπηρεσία μέσω του Control Panel ή μέσω της εντολής PowerShell “Install-WindowsFeature MSMQ-Services“.
Εικόνα 1: Ενεργοποίηση/απενεργοποίηση της υπηρεσίας MSMQ σε διακομιστή Windows
Η QueueJumper Ευπάθεια
Η ευπάθεια CVE-2023-21554 επιτρέπει σε έναν εισβολέα να εκτελέσει ενδεχομένως κώδικα εξ mqsvc.exe
mqsvc.exe
Ο αντίκτυπος
Τώρα γνωρίζουμε ότι ο φορέας επίθεσης στέλνει πακέτα στη θύρα υπηρεσίας 1801/tcp. Προκειμένου να κατανοήσουμε καλύτερα τον πιθανό αντίκτυπο αυτής της υπηρεσίας στον πραγματικό κόσμο, η CPR έκανε μια πλήρη σάρωση στο Internet. Παραδόξως, διαπιστώσαμε ότι περισσότερες από ~ 360.000 IP έχουν το 1801/tcp ανοιχτό στο Internet και εκτελούν την υπηρεσία MSMQ.
Σημειώστε ότι αυτό περιλαμβάνει μόνο τον αριθμό των κεντρικών υπολογιστών που αντιμετωπίζουν το Internet και δεν λαμβάνει υπόψη τους υπολογιστές που φιλοξενούν την υπηρεσία MSMQ σε εσωτερικά δίκτυα, όπου ο αριθμός θα πρέπει να είναι πολύ μεγαλύτερος.
Η υπηρεσία MSMQ είναι μια υπηρεσία “ενδιάμεσου λογισμικού”, στην οποία βασίζεται κάποιο δημοφιλές λογισμικό. Όταν ο χρήστης εγκαταστήσει το δημοφιλές λογισμικό, η υπηρεσία MSMQ ενεργοποιείται στα Windows, κάτι που μπορεί να γίνει χωρίς τη γνώση του χρήστη.
Προστασία & Μετριασμός
Συνιστούμε σε όλους τους διαχειριστές των Windows να ελέγχουν τους διακομιστές και τους υπολογιστές-πελάτες τους για να δουν εάν είναι εγκατεστημένη η υπηρεσία MSMQ. Μπορείτε να ελέγξετε εάν εκτελείται μια υπηρεσία με το όνομα “‘Message Queuing’” και η θύρα TCP 1801 εκτελεί ακρόαση στον υπολογιστή. Εάν είναι εγκατεστημένο, ελέγξτε ξανά αν το χρειάζεστε. Το κλείσιμο περιττών επιφανειών επίθεσης είναι πάντα μια πολύ καλή πρακτική ασφαλείας .
Για αυτήν τη συγκεκριμένη ευπάθεια συνιστούμε στους χρήστες να εγκαταστήσουν την επίσημη ενημερωμένη έκδοση κώδικα της Microsoft το συντομότερο δυνατό. Εάν η επιχείρησή σας απαιτεί MSMQ, αλλά δεν είναι σε θέση να εφαρμόσει την ενημερωμένη έκδοση κώδικα της Microsoft αυτήν τη στιγμή, μπορείτε, ως λύση, να αποκλείσετε τις εισερχόμενες συνδέσεις για το 1801/tcp από μη αξιόπιστες πηγές με κανόνες Firewall (για παράδειγμα, αποκλεισμός συνδέσεων Internet στο 1801/tcp για υπολογιστές με πρόσβαση στο Internet).
Το Check Point IPS έχει αναπτύξει μια υπογραφή με το όνομα “Microsoft Message Queuing Remote Code Execution (CVE-2023-21554)” για τον εντοπισμό και την προστασία των πελατών της Check Point Software από την ευπάθεια QueueJumper.