QueueJumper - критическая неаутентифицированная уязвимость RCE в службе MSMQ

[D2]

QUEUEJUMPER - КРИТИЧЕСКАЯ НЕАУТЕНТИФИЦИРОВАННАЯ УЯЗВИМОСТЬ RCE В СЛУЖБЕ MSMQ​

Основные положения

Check Point Research недавно обнаружила три уязвимости в службе "Microsoft Message Queuing", широко известной как MSMQ. Эти уязвимости были раскрыты Microsoft и устранены в апрельском обновлении Patch Tuesday. Наиболее серьезная из них, названная CPR QueueJumper (CVE-2023-21554), является критической уязвимостью, которая может позволить неавторизованным злоумышленникам удаленно выполнить произвольный код в контексте процесса службы Windows mqsvc.exe.

Check Point Research (CPR) выпускает этот блог после внедрения патча, чтобы повысить осведомленность об этой критической уязвимости и предоставить пользователям Windows рекомендации по защите и устранению последствий. Мы опубликуем полные технические подробности позднее в этом месяце, чтобы дать пользователям время на исправление своих машин до публичного раскрытия технических подробностей.

Основные выводы

• В службе MSMQ было обнаружено три уязвимости, все они были исправлены в апрельском обновлении Patch Tuesday:
  • CVE-2023-21554 (QueueJumper) - неаутентифицированное удаленное выполнение кода
  • CVE-2023-21769 - неаутентифицированный удаленный DoS на уровне приложения (падение сервиса)
  • CVE-2023-28302 - неаутентифицированный удаленный DoS на уровне ядра (Windows BSOD)
• Наиболее значительная уязвимость позволяет неаутентифицированным злоумышленникам выполнить произвольный код в контексте процесса службы Windows, mqsvc.exe.
• MSMQ предоставляется как дополнительный компонент Windows и по-прежнему доступен на всех операционных системах Windows, включая последние версии Windows Server 2022 и Windows 11.

MSMQ

Согласно Microsoft, Microsoft Message Queuing ("MSMQ" для краткости),

"это инфраструктура сообщений и платформа разработки для создания распределенных, слабосвязанных приложений обмена сообщениями для операционной системы Microsoft® Windows®. Приложения Message Queuing могут использовать инфраструктуру Message Queuing для взаимодействия в гетерогенных сетях и с компьютерами, которые могут находиться в автономном режиме. Message Queuing обеспечивает гарантированную доставку сообщений, эффективную маршрутизацию, безопасность, поддержку транзакций и обмен сообщениями на основе приоритетов".

Последние документы Microsoft, в которых обсуждается эта служба, были обновлены в 2016 году. Некоторые эксперты по MSMQ опубликовали в январе 2020 года запись в блоге, посвященную тенденции ухода службы на пенсию. Несмотря на то, что MSMQ считается "забытой" или "устаревшей" службой, она по-прежнему доступна на всех операционных системах Windows, включая последние версии Windows Server 2022 и Windows 11, и предоставляется в качестве дополнительного компонента Windows. Пользователи могут легко включить службу через панель управления или с помощью команды PowerShell "Install-WindowsFeature MSMQ-Services".

Рисунок 1 - Рисунок 1 - Включение/отключение службы MSMQ на сервере Windows*.​

Уязвимость QueueJumper

Уязвимость CVE-2023-21554 позволяет злоумышленнику потенциально выполнить код удаленно и без авторизации, достигнув TCP порта 1801. Другими словами, злоумышленник может получить контроль над процессом посредством всего одного пакета на порт 1801/tcp с эксплойтом, запустив уязвимость.

Последствия

Теперь мы знаем, что вектор атаки посылает пакеты на служебный порт 1801/tcp. Чтобы лучше понять потенциальное воздействие этой службы в реальном мире, компания CPR провела полное сканирование Интернета.

К нашему удивлению, мы обнаружили, что более чем на 360 000 IP-адресов порт 1801/tcp открыт для доступа в Интернет и запущен сервис MSMQ.

Обратите внимание, что это только число хостов, выходящих в Интернет, и не учитывает компьютеры, на которых служба MSMQ запущена во внутренних сетях, где их число должно быть намного больше.

Служба MSMQ - это служба "промежуточного программного обеспечения", на которую опираются некоторые популярные программы. Когда пользователь устанавливает популярное программное обеспечение, служба MSMQ включается в Windows, что может быть сделано без ведома пользователя.

Например, CPR увидела, что при установке официального сервера Microsoft Exchange Server приложение мастера установки включит службу MSMQ в фоновом режиме, если пользователь выберет опцию "Автоматически устанавливать роли и функции Windows Server, необходимые для установки Exchange", что рекомендуется Microsoft.

Рисунок 3 - Установка Exchange Server включит MSMQ на машине, если выбрана опция*.​

После установки служба MSMQ автоматически включается:

Рисунок 4 - После установки Exchanger Server процесс MSMQ запускается на той же машине*.​

Таким образом, сервер Exchange Server работает вместе со службой MSMQ на той же машине.

Важным выводом является то, что если MSMQ включен на сервере, злоумышленник потенциально может использовать эту или любую другую уязвимость MSMQ и захватить сервер. Поэтому мы настоятельно рекомендуем администраторам тщательно проверять свои серверы и следовать перечисленным рекомендациям по защите и устранению последствий.

Защита и смягчение последствий

Мы рекомендуем всем администраторам Windows проверить свои серверы и клиенты на предмет наличия установленной службы MSMQ. Вы можете проверить, запущена ли служба под названием 'Message Queuing', и прослушивается ли на компьютере порт TCP 1801. Если она установлена, перепроверьте, нужна ли она вам. Закрытие ненужных векторов атаки всегда является очень хорошей практикой безопасности.

Для этой конкретной уязвимости, которую мы обсуждали, мы рекомендуем пользователям как можно скорее установить официальный патч от Microsoft. Если вашей организации требуется MSMQ, но нет возможности применить патч Microsoft прямо сейчас, вы можете блокировать входящие соединения для 1801/tcp из ненадежных источников с помощью правил брандмауэра (например, блокировать интернет-соединения для 1801/tcp для машин, выходящих в Интернет) в качестве обходного пути.

Check Point IPS разработала и развернула сигнатуру под названием "Microsoft Message Queuing Remote Code Execution (CVE-2023-21554)" для обнаружения и защиты наших клиентов от уязвимости QueueJumper.

ОФИЦИАЛЬНАЯ СТАТЬЯ: QueueJumper: Critical Unauthenticated RCE Vulnerability in MSMQ Service
ПЕРЕВЕДЕНО ДЛЯ XSS.is by Marcus Aurelius