Microsoft Message Queuing Remote Code Execution Vulnerability

近期官方公布了一个MSMQ的远程代码执行漏洞，可能因为网络安全设备的更新，影响业务，值得大家关注。

Microsoft Message Queuing 概述

MicroSoft Message Queuing（微软消息队列)是在多个不同的应用之间实现相互通信的一种异步传输模式，相互通信的应用可以分布于同一台机器上，也可以分布于相连的网络空间中的任一位置。它的实现原理是：消息的发送者把自己想要发送的信息放入一个容器中（我们称之为Message），然后把它保存至一个系统公用空间的消息队列(Message Queue)中；本地或者是异地的消息接收程序再从该队列中取出发给它的消息进行处理。

Microsoft Message Queuing漏洞说明

Name:
Microsoft Message Queuing Remote Code Execution Vulnerability

Description:
Microsoft Message Queuing is prone to a remote code execution vulnerability while parsing certain crafted TCP requests. The vulnerability is due to the lack of proper checks on TCP requests, leading to an exploitable remote code execution vulnerability. An attacker could exploit the vulnerability by sending crafted TCP requests. A successful attack could lead to remote code execution with the privileges of the server.

Microsoft消息队列在解析某些精心制作的TCP请求时容易出现远程代码执行漏洞。该漏洞是由于缺乏对TCP请求的适当检查，导致可利用的远程代码执行漏洞。攻击者可以通过发送精心制作的TCP请求来利用该漏洞。成功的攻击可能导致使用服务器的特权远程执行代码。

CVE :
CVE-2023-21554

Reference:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2023-21554

攻击者如何利用该漏洞？

要利用此漏洞，攻击者需要将特制的恶意 MSMQ 数据包发送到 MSMQ 服务器。这可能会导致服务器端远程执行代码。

Windows 消息队列服务是 Windows 组件，需要启用系统才能被此漏洞利用。

您可以检查是否有名为“消息队列”的服务正在运行，并且 TCP 端口 1801 正在该计算机上侦听。

Microsoft Message Queuing漏洞风险说明

影响：远程代码执行

最大严重性： 严重

机密性完全丧失，导致受影响组件内的所有资源都泄露给攻击者。或者，仅获得一些受限信息的访问权，但披露的信息会带来直接、严重的影响。

完整性完全丧失，或者保护完全丧失。例如，攻击者能够修改受受影响组件保护的任何/所有文件。或者，只能修改部分文件，但恶意修改会给受影响的组件带来直接、严重的后果。

可用性完全丧失，导致攻击者能够完全拒绝对受影响组件中的资源的访问；这种损失要么是持续的（当攻击者继续进行攻击时），要么是持续的（即使在攻击完成后这种情况仍然存在）。或者，攻击者有能力拒绝某些可用性，但可用性的丧失会给受影响的组件带来直接、严重的后果（例如，攻击者无法破坏现有连接，但可以阻止新连接；攻击者可以重复利用漏洞在每次成功攻击的情况下，仅泄漏少量内存，但重复利用后会导致服务完全不可用）。

Microsoft Message Queuing漏洞修复

最近Microsoft Message Queuing 持续发生critical的拒绝服务和远程代码执行漏洞，小伙伴们要特别注意了。

推荐阅读

Microsoft Message Queuing Denial-of-Service Vulnerability
小型企业如何简单有效防范网络攻击威胁
服务器漏洞修复-检查和关闭勒索病毒传播的SMBv1协议
安全知识普及：如何让您的计算机上网安全，无忧冲浪
OT网络安全-OT客户端安全防护要采取那些措施
安全知识普及：远程办公，员工必须遵守的5大守则
钓鱼攻击：相似域名识别及如何有效预防攻击