Yapay zeka destekli Güvenlik çözümleri sağlayıcısı FortiGuard Labs’daki araştırmacılar, son birkaç aydır Microsoft Message Queuing (MSMQ) hizmetini izliyor. Şirket, Hackread.com ile paylaştığı özel bir araştırma raporunda, yaygın olarak kullanılan mesaj kuyruğu hizmetindeki birden çok güvenlik açığının ayrıntılarını ortaya çıkardı.
Güvenlik açıkları, çoğunlukla MSMQ yüklü Windows tabanlı cihazları etkileyen uzaktan kod yürütme ve hizmet reddi saldırılarına (DoS saldırıları) izin verir.
Güvenlik Açıkları Ayrıntıları
FortiGuard Lab’ın Wayne Low tarafından yazılan ve 24 Temmuz 2023’te yayınlanan araştırma raporu, güvenlik açıklarının kritik olarak kategorize edildiğini açıklıyor. Her kusurun ayrıntıları aşağıdaki gibidir:
FG-VD-23-001: Message Queuing Exactly-One-Delivery (EOD) Header Out-of-Bounds Read
Bu kusur, EodHeader, StreamIdSize ve OrderQueueSize gibi bazı kritik işlevleri mesaj başlığı ayrıştırıcı rutininde (CQmPacket::CQmPacket) erişilmeden önce doğrulamadığı için sınırların dışında okumaya izin veriyor.
Araştırmacılar, bu bilgi ifşa istismarının mantıksız olduğu konusunda hemfikirdir, ancak sınır dışı okuma geçersiz bir adrese erişirse saldırganlar kolayca bir hizmet reddi saldırısı gerçekleştirebilir. FortiGuard Labs, bu açığı tespit etmek için MS.Windows.Message.Queuing.Service.CVE-2023-28302.DoS imzasını yayınladı.
FG-VD-23-002: Message Queuing İleti Başlığı Sınır Dışında Yazma
İleti başlığı ayrıştırıcısı CQmPacket::CQmPacket, rastgele bir boyuta sahip bir ileti üstbilgisini doğrulamadığında, sınır dışı yazma gerçekleşir.
Daha fazla araştırma, örneğin EodHeader, EodAckHeader ve CompoundMessageHeader EodHeader, EodAckHeader ve CompoundMessageHeader gibi bazı mesaj başlıklarının, mesaj başlığı ayrıştırıcısı (tipik olarak her başlığın önceden tanımlanmış veri yapılarına göre işaretçiyi ayarlayan) rastgele bir konuma işaret edecek şekilde ayarlanması durumunda saldırganların uygun olmayan bir şekilde sterilize edilmiş rastgele bir boyut/uzunluk belirtmesine izin verdiğini ortaya çıkardı.
Bu, geçersiz bir adres olur ve mesaj üstbilgisinin daha sonra kodda referansı kaldırılırsa belleğin bozulmasına neden olabilir. FortiGuard Labs, bu sorunu tespit etmek için MS.Windows.MSMQ.CVE-2023-21554.Remote.Code.Execution IPS imzasını yayınladı.
FG-VD-23-015: Message Queuing Bileşik İleti Başlığı Sınır Dışı Yazma
Bu sorun, CompoundMessage üstbilgisi veri yapısı üzerinde akıl sağlığı denetimi çalıştıramadığında manuel kod denetimi nedeniyle oluşur.
MSMQ nedir?
MSMQ, MQSVC.EXE altında barındırılan bağımsız bir Windows sunucusudur. Microsoft, bu tescilli mesajlaşma protokolünü açık kaynaklı RabitMQ’nun satırlarında geliştirdi, böylece farklı bilgisayarlarda çalışan uygulamalar hatasız bir şekilde iletişim kurabilir.
Hedefine ulaşamayan mesajlar bir kuyruğa alınır ve hedefe ulaşıldığında yeniden gönderilir. Tipik MSMQ paketi, BaseHeader, UserHeader ve MessagePropertiesHeader gibi başlıkları içerir ve ayrıca TransactionHeader, SecurityHeader, DebugHeader ve SessionHeader’ı içerebilir.
Fortinet, müşterilerini yukarıda belirtilen güvenlik açıklarına karşı savunmasız ağ varlıklarını hemen tespit etmeye ve yamaları uygulamaya çağırıyor. Şirket, sorumlu açıklama uygulamasının bir parçası olarak Microsoft’u bu sorunlar hakkında bilgilendirdi. Microsoft, Nisan ve Temmuz 2023 güvenlik güncellemelerinde derhal yamalar yayınladı.
İLGİLİ MAKALELER
- Check Point: Microsoft, 2023’ün 2. Çeyreğinde En Fazla Kimlik Avına Uğrayan Marka
- Microsoft, Sınırlı Ayrıntılarla DDoS Saldırı Etkisini Açıkladı
- Microsoft Teams Kusuru, Çalışanların Gelen Kutularına Kötü Amaçlı Yazılım Gönderiyor
- Microsoft, çalınan Dark Web kimlik bilgilerinin kötüye kullanıldığı iddiasıyla dava açtı
- Yeni Kimlik Avı Saldırısı Microsoft 365 Kimlik Doğrulama Sistemini Sızdırıyor