Check Point Research heeft recent drie kwetsbaarheden ontdekt in de Microsoft Message Queuing-service, een dienst die asynchrone communicatie tussen toepassingen mogelijk maakt (zoals systemen die soms offline zijn). Terwijl MSMQ niet standaard is ingeschakeld en de bugs sinds afgelopen Patch Day zijn verholpen, blijken er nog honderdduizenden systemen kwetsbaar te zijn.
De bugs hebben de codes CVE-2023-21554, CVE-2023-21769 en CVE-2023-28302 gekregen, met een respectievelijke score van 9,8 en tweemaal 7,5 punten op tien. Eerstgenoemde wordt QueueJumper genoemd en is gezien het hoge rating als kritiek gecategoriseerd. Aanvallers kunnen namelijk door middel van aangepaste MSMQ-packets malafide code uitvoeren op systemen waarbij MSMQ is ingeschakeld.
Onder Windows-onderdelen kun je nagaan of MSMQ actief is.
CPR raadt aan om zo snel mogelijk de juiste beveiligingsupdates uit te voeren. Indien dit niet mogelijk is, dienen systeemadministratoren na te gaan of de Message Queuing-dienst wordt gebruikt en de tcp-poort 1801 open is. Check Point heeft zelf vastgesteld dat dit bij meer dan 360.000 systemen het geval is. Volgens Shadowserver gaat het om niet minder dan 403.000 kwetsbare configuraties, waarbij de overgrote meerderheid is gebaseerd in Hong Kong, Zuid-Korea en de VS.
Bronnen: Check Point Research, Bleeping Computer, Shadowserver (Twitter), Heise
