Más de 360.000 hosts únicos parecen estar en riesgo por tres vulnerabilidades recientemente reveladas, una de ellas calificada como crítica, en el servicio heredado de Microsoft Message Queuing (MSMQ), advirtió un investigador de Check Point.
Reveladas a Microsoft por Haifei Li de Check Point y corregidas en la actualización Patch Tuesday del 11 de abril de 2023, las tres vulnerabilidades son CVE-2023-21554, CVE-2023-21769 y CVE-2023-28302. De estos, CVE-2023-21554, o QueueJumper, una vulnerabilidad de ejecución remota de código (RCE) con una puntuación CVSS de 9,8, se considera la más crítica.
Si no se aborda, QueueJumper podría permitir que atacantes no autorizados ejecuten de forma remota código arbitrario en el contexto del servicio MSMQ.
MSMQ es un componente opcional que está disponible en todas las versiones del sistema operativo (SO) Windows, incluidos Windows Server 2022 y Windows 11. Es una infraestructura de mensajes y una plataforma de desarrollo que crea aplicaciones de mensajería distribuidas y poco acopladas para Windows.
Estas aplicaciones usan MSMQ para comunicarse a través de redes y con sistemas que pueden estar fuera de línea. Según Microsoft, el servicio proporciona “entrega de mensajes garantizada, enrutamiento eficiente, seguridad, soporte de transacciones y mensajería basada en prioridades”.
El servicio no se ha actualizado durante algún tiempo y, para todos los efectos, finalizó hace unos años, aunque sigue disponible y se puede habilitar fácilmente a través del Panel de control o un comando específico de PowerShell, y aquí, dicho Li, miente el problema.
“La vulnerabilidad CVE-2023-21554 permite que un atacante ejecute potencialmente código de forma remota y sin autorización al llegar al puerto TCP 1801. En otras palabras, un atacante podría obtener el control del proceso a través de solo un paquete al puerto con el exploit, desencadenando la vulnerabilidad”, explicó.
“Para tener una mejor comprensión del impacto potencial en el mundo real de este servicio, Check Point Research realizó un análisis completo de Internet. Sorprendentemente, descubrimos que más de 360 000 IP tienen el puerto TCP 1801 abierto a Internet y ejecutan el servicio MSMQ”, dijo. Este número incluye solo hosts orientados a Internet y no tiene en cuenta aquellos que alojan MSMQ en redes internas.
Li también señaló que, dado que otras aplicaciones de software dependen de MSMQ, cuando el usuario las instala en un sistema Windows, habilitará MSMQ, posiblemente sin su conocimiento.
“Recomendamos a todos los administradores de Windows que verifiquen sus servidores y clientes para ver si el servicio MSMQ está instalado. Puede verificar si hay un servicio en ejecución llamado ‘Message Queuing’ y si el puerto TCP 1801 está escuchando en la computadora. Si está instalado, verifique dos veces si lo necesita. Cerrar superficies de ataque innecesarias siempre es una muy buena práctica de seguridad”, dijo.
Check Point está retrasando la publicación de los detalles técnicos completos del exploit en esta etapa para darles a los usuarios tiempo para parchear sus sistemas. Si es un usuario de MSMQ pero no puede aplicar el parche en este momento, vale la pena bloquear las conexiones entrantes de fuentes no confiables al puerto vulnerable usando reglas de firewall.
QueueJumper se encuentra entre una serie de vulnerabilidades críticas parcheadas por Microsoft en abril. Las otras, todas vulnerabilidades RCE, son CVE-2023-28219 y CVE-2022-28220 en el protocolo de túnel de capa 2, CVE-2023-28231 en el servicio de servidor DHCP, CVE-2023-28232 en el protocolo de túnel punto a punto de Windows, CVE-2023-28250 en Windows Pragmatic General Multicast (PGM) y CVE-2023-28291 en Raw Image Extension.
La actualización de abril también corrigió CVE-2023-28252, una vulnerabilidad de día cero en el sistema de archivos de registro común (CLFS) de Microsoft, que se explota como parte de una cadena de ataque que entrega el ransomware Nokoyawa.