Bir Check Point araştırmacısı, eski Microsoft Message Queuing (MSMQ) hizmetinde 360.000’den fazla benzersiz ana bilgisayarın yeni açıklanan ve biri kritik olarak derecelendirilen üç güvenlik açığı nedeniyle risk altında olduğu konusunda uyardı.
Check Point’ten Haifei Li tarafından Microsoft’a açıklanan ve 11 Nisan 2023 Salı Yaması güncellemesinde düzeltilen üç güvenlik açığı CVE-2023-21554, CVE-2023-21769 ve CVE-2023-28302’dir. Bunların arasında, CVSS puanı 9,8 olan bir uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2023-21554 veya QueueJumper en kritik olarak kabul edilir.
Adressiz bırakıldığında, QueueJumper, yetkisiz saldırganların MSMQ hizmeti bağlamında uzaktan rasgele kod yürütmesine izin verebilir.
MSMQ, Windows Server 2022 ve Windows 11 dahil olmak üzere Windows işletim sisteminin (OS) tüm sürümlerinde bulunan isteğe bağlı bir bileşendir. Windows için dağıtılmış, gevşek bağlı mesajlaşma uygulamaları oluşturan bir mesaj altyapısı ve geliştirme platformudur.
Bu uygulamalar, ağlar arasında ve çevrimdışı olabilecek sistemlerle iletişim kurmak için MSMQ’yu kullanır. Microsoft’a göre hizmet “garantili mesaj teslimi, verimli yönlendirme, güvenlik, işlem desteği ve önceliğe dayalı mesajlaşma” sağlıyor.
Hizmet bir süredir güncellenmedi ve tüm niyet ve amaçlarla, birkaç yıl önce kullanım ömrü sona erdi, ancak kullanılabilir durumda ve Kontrol Paneli veya belirli bir PowerShell komutu aracılığıyla kolayca etkinleştirilebiliyor ve burada, Li, problem yatıyor.
“CVE-2023-21554 güvenlik açığı, bir saldırganın 1801 numaralı TCP bağlantı noktasına ulaşarak potansiyel olarak uzaktan ve yetkisiz kod yürütmesine olanak tanır. Güvenlik açığı, ”diye açıkladı.
“Bu hizmetin gerçek dünyadaki potansiyel etkisini daha iyi anlamak için Check Point Research tam bir internet taraması yaptı. Şaşırtıcı bir şekilde, 360.000’den fazla IP’nin internete açık 1801 TCP bağlantı noktasına sahip olduğunu ve MSMQ hizmetini çalıştırdığını bulduk” dedi. Bu sayı yalnızca internete bakan ana bilgisayarları içerir ve MSMQ’yu dahili ağlarda barındıranları hesaba katmaz.
Li ayrıca, MSMQ’ya diğer yazılım uygulamaları tarafından güvenildiği için, kullanıcı bunları bir Windows sistemine yüklediğinde, muhtemelen bilgisi olmadan MSMQ’yu etkinleştireceklerini belirtti.
“Tüm Windows yöneticilerinin, MSMQ hizmetinin kurulu olup olmadığını görmek için sunucularını ve istemcilerini kontrol etmelerini öneririz. Çalışan ‘Message Queuing’ adlı bir hizmet olup olmadığını ve bilgisayarda TCP bağlantı noktası 1801’in dinleyip dinlemediğini kontrol edebilirsiniz. Yüklüyse, ihtiyacınız olup olmadığını iki kez kontrol edin. Gereksiz saldırı yüzeylerini kapatmak her zaman çok iyi bir güvenlik uygulamasıdır” dedi.
Check Point, kullanıcılara sistemlerini düzeltmeleri için zaman tanımak için bu aşamada açıktan yararlanmanın tüm teknik ayrıntılarını yayınlamayı erteliyor. Bir MSMQ kullanıcısıysanız ancak yamayı şu anda uygulayamıyorsanız, güvenlik duvarı kurallarını kullanarak güvenilmeyen kaynaklardan savunmasız bağlantı noktasına gelen bağlantıları engellemeye değer.
QueueJumper, Microsoft tarafından Nisan ayında yamalanan bir dizi kritik güvenlik açığı arasında yer alıyor. Diğerleri, tümü RCE güvenlik açıkları, Katman 2 Tünel Protokolünde CVE-2023-28219 ve CVE-2022-28220, DHCP Sunucu Hizmetinde CVE-2023-28231, Windows Noktadan Noktaya Tünel Protokolünde CVE-2023-28232, Windows Pragmatic General Multicast (PGM) içinde CVE-2023-28250 ve Ham Görüntü Uzantısında CVE-2023-28291.
Nisan güncellemesi ayrıca, Nokoyawa fidye yazılımını dağıtan bir saldırı zincirinin parçası olarak istismar edilen Microsoft Ortak Günlük Dosya Sistemindeki (CLFS) sıfır günlük bir güvenlik açığı olan CVE-2023-28252’yi de düzeltti.