Güvenlik araştırmacıları ve uzmanları, Salı günü bu ayın yaması boyunca Microsoft tarafından yamalanan ve yüz binlerce sistemi saldırıya maruz bırakan Windows Mesaj Kuyruk (MSMQ) ara katman yazılımı hizmetindeki kritik bir güvenlik açığı konusunda uyarıyorlar.
MSMQ, tüm Windows işletim sistemlerinde, "Garantili Mesaj Teslimi" ile APPS'e ağ iletişimi özellikleri sağlayan isteğe bağlı bir bileşen olarak kullanılabilir ve PowerShell veya Kontrol Paneli aracılığıyla etkinleştirilebilir.
Kusur (CVE-2023-21554), kimlik doğrulanmamış saldırganların, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklık ataklarında özel olarak hazırlanmış kötü niyetli MSMQ paketlerini kullanarak dövülmemiş Windows sunucularında uzaktan kod yürütme kazanmalarını sağlar.
Etkilenen Windows Server ve istemci sürümlerinin listesi, en son sürümlere kadar desteklenen tüm sürümleri, Windows 11 22H2 ve Windows Server 2022'yi içerir.
Redmond ayrıca, "bu tür bir güvenlik açığının kullanılmasının geçmiş örneklerinin farkında olduğu" ve bu da onu "saldırganlar için cazip bir hedef haline getirdiği" göz önüne alındığında, CVE-2023-21554'e bir "sömürü daha olası" etiketi ekledi.
Microsoft, "Bu nedenle, güvenlik güncellemesini gözden geçiren ve çevrelerindeki uygulanabilirliğini belirleyen müşteriler bunu daha yüksek bir öncelikle ele almalıdır."
Fortinet'in FortiGuard Laboratuarından Güvenlik Araştırmacılar Wayne Low ve Check Point Research'ten Haifei Li, Microsoft'a kusur bildirdiği için kredilendirildi.
Check Point Research, CVE-2023-21554'ün potansiyel etkisi ile ilgili ek ayrıntıları da paylaştı ve 360.000'den fazla internete maruz kalan sunucu MSMQ hizmetini çalıştıran ve potansiyel olarak saldırılara karşı savunmasız bulduğunu söyledi.
Patlamasız sistemlerin sayısı muhtemelen çok daha yüksektir, kontrol noktası araştırmasının tahmininin internet üzerinden ulaşılamayan MSMQ hizmetini çalıştıran cihazları içermediğini görmek.
Çoğu sistemde varsayılan olarak etkinleştirilmeyen, diğer yazılımlar tarafından kullanılan bir ara katman yazılımı hizmeti olmasına rağmen, hizmet, kurumsal uygulamaları yüklerken arka planda yaygın olarak değiştirilecek ve uygulamaları kaldırdıktan sonra bile çalışmaya devam edecektir.
Örneğin, Check Point Research, Exchange Server yüklemeleri sırasında MSMQ'nun otomatik olarak etkinleştirileceğini buldu.
"CPR, resmi Microsoft Exchange Server'ı yüklerken, kurulum sihirbazı uygulamasının, kullanıcının 'Windows Server rollerini ve Exchange'i yüklemek için gereken özellikleri otomatik olarak yüklemek' seçeneğini seçmesi durumunda arka planda MSMQ hizmetini etkinleştireceğini gördü. Microsoft, "dedi araştırmacılar.
"Önemli paket, bir sunucuda MSMQ etkinleştirilirse, saldırganın potansiyel olarak bu veya herhangi bir MSMQ güvenlik açığından yararlanabileceği ve sunucuyu devralabilmesidir."
Salı gününden bu yana, CyberIntelligence Company Greynoise MSMQ bağlantı denemelerini izlemeye başladı ve şu anda internete maruz kalan sunucular için taramaya başlamış on farklı IP adresi gösteriyor.
Microsoft bu hatayı ve Salı günü Nisan yamasının bir parçası olarak 96 diğer güvenlik kusurlarını zaten ele almış olsa da, saldırı vektörünü kaldırmak için Windows MSMQ hizmetini (mümkünse) devre dışı bırakmak için yamayı hemen dağıtamayan yöneticilere tavsiyelerde bulundu.
Microsoft, "Mesaj Queuing adlı bir hizmet olup olmadığını kontrol edebilirsiniz ve TCP bağlantı noktası 1801 makineyi dinliyor." Dedi.
MSMQ veya Microsoft'un yamasını hemen devre dışı bırakamayan kuruluşlar, güvenlik duvarı kurallarını kullanarak 1801/TCP bağlantılarını güvenilmeyen kaynaklardan da engelleyebilir.
Cisa, LastPass ihlalinden sonra aktif olarak sömürülen plex hatası konusunda uyarıyor
CISA, kritik VMware RCE Kusurunu Saldırılarda Sömürülen uyarıyor
Google, Samsung Exynos yonga setlerinde 18 sıfır günlük güvenlik açığı bulur
Fortinet, yeni eleştirel olmayan RCE güvenlik açığı konusunda uyarıyor
Kritik Microsoft Word RCE Hata için Kavram Kanıtı
Kaynak: Bleeping Computer