Il bug di Microsoft MSMQ è in sfruttamento attivo. L’exploit RCE da 9,8 è online

I ricercatori e gli esperti di sicurezza informatica avvertono di una vulnerabilità critica nel servizio middleware Windows Message Queuing (MSMQ) che è stato corretto da Microsoft il Patch Tuesday e lascia centinaia di migliaia di sistemi vulnerabili agli attacchi.

MSMQ è disponibile in tutte le versioni di Windows come funzionalità facoltativa che fornisce alle applicazioni funzionalità di rete “recapito dei messaggi garantito” e può essere abilitato tramite PowerShell o il Pannello di controllo.

La vulnerabilità RCE CVE-2023-21554 (CVSS: 9.8) consente a un utente malintenzionato non autenticato di eseguire codice in remoto su server Windows senza patch utilizzando pacchetti MSMQ dannosi appositamente predisposti in attacchi a bassa complessità che non richiedono l’interazione dell’utente.

L’elenco delle versioni server e client interessate di Windows include tutte le edizioni attualmente supportate fino alle ultime versioni di Windows 11 22H2 e Windows Server 2022 incluse.

Microsoft ha dichiarato di essere a conoscenza degli exploit della vulnerabilità e di essere un “obiettivo attraente per i criminali informatici”. Pertanto, i clienti dovrebbero dare maggiore priorità all’ultimo aggiornamento della sicurezza.

Secondo Check Point Research, oltre 360.000 server disponibili su Internet che eseguono il servizio MSMQ sono potenzialmente vulnerabili agli attacchi. Il numero di sistemi vulnerabili è molto più alto perché la stima di Check Point Research non include i dispositivi in reti chiuse.

Sebbene MSMQ sia un servizio middleware utilizzato da altri software, il servizio è in genere abilitato in background quando vengono installate le applicazioni aziendali e continua a essere eseguito anche dopo la disinstallazione delle applicazioni. Ad esempio, MSMQ viene abilitato automaticamente durante l’installazione di Exchange Server.

Gli esperti hanno notato che se MSMQ è abilitato su un server, un utente malintenzionato potrebbe potenzialmente sfruttare CVE-2023-21554 o qualsiasi altra vulnerabilità MSMQ e assumere il controllo del server. Secondo un’analisi di GreyNoise, attualmente 10 diversi indirizzi IP hanno già avviato la scansione dei server aperti su Internet.

Sebbene Microsoft abbia già corretto questo bug, la società ha anche consigliato agli amministratori che non possono applicare urgentemente gli aggiornamenti di disabilitare il servizio Windows MSMQ (se possibile) per rimuovere il vettore di attacco. 

Le organizzazioni che non possono disabilitare MSMQ o installare un hotfix Microsoft possono bloccare le connessioni 1801/TCP da fonti non attendibili utilizzando le regole del firewall.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Manuel Roccon

Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.

Aree di competenza: Ethical Hacking, Bug Hunting, Penetration Testing, Red Teaming, Security Research, Cybersecurity Communication