近期官方公布了一个MSMQ的远程代码执行漏洞,可能因为网络安全设备的更新,影响业务,值得大家关注。
MicroSoft Message Queuing(微软消息队列)是在多个不同的应用之间实现相互通信的一种异步传输模式,相互通信的应用可以分布于同一台机器上,也可以分布于相连的网络空间中的任一位置。它的实现原理是:消息的发送者把自己想要发送的信息放入一个容器中(我们称之为Message),然后把它保存至一个系统公用空间的消息队列(Message Queue)中;本地或者是异地的消息接收程序再从该队列中取出发给它的消息进行处理。
Name:
Microsoft Message Queuing Remote Code Execution Vulnerability
Description:
Microsoft Message Queuing is prone to a remote code execution vulnerability while parsing certain crafted TCP requests. The vulnerability is due to the lack of proper checks on TCP requests, leading to an exploitable remote code execution vulnerability. An attacker could exploit the vulnerability by sending crafted TCP requests. A successful attack could lead to remote code execution with the privileges of the server.
Microsoft消息队列在解析某些精心制作的TCP请求时容易出现远程代码执行漏洞。该漏洞是由于缺乏对TCP请求的适当检查,导致可利用的远程代码执行漏洞。攻击者可以通过发送精心制作的TCP请求来利用该漏洞。成功的攻击可能导致使用服务器的特权远程执行代码。
CVE :
CVE-2023-21554
Reference:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2023-21554
要利用此漏洞,攻击者需要将特制的恶意 MSMQ 数据包发送到 MSMQ 服务器。这可能会导致服务器端远程执行代码。
Windows 消息队列服务是 Windows 组件,需要启用系统才能被此漏洞利用。
您可以检查是否有名为“消息队列”的服务正在运行,并且 TCP 端口 1801 正在该计算机上侦听。
影响:远程代码执行
最大严重性: 严重
机密性完全丧失,导致受影响组件内的所有资源都泄露给攻击者。或者,仅获得一些受限信息的访问权,但披露的信息会带来直接、严重的影响。
完整性完全丧失,或者保护完全丧失。例如,攻击者能够修改受受影响组件保护的任何/所有文件。或者,只能修改部分文件,但恶意修改会给受影响的组件带来直接、严重的后果。
可用性完全丧失,导致攻击者能够完全拒绝对受影响组件中的资源的访问;这种损失要么是持续的(当攻击者继续进行攻击时),要么是持续的(即使在攻击完成后这种情况仍然存在)。或者,攻击者有能力拒绝某些可用性,但可用性的丧失会给受影响的组件带来直接、严重的后果(例如,攻击者无法破坏现有连接,但可以阻止新连接;攻击者可以重复利用漏洞在每次成功攻击的情况下,仅泄漏少量内存,但重复利用后会导致服务完全不可用)。
最近Microsoft Message Queuing 持续发生critical的拒绝服务和远程代码执行漏洞,小伙伴们要特别注意了。