Una vulnerabilidad crítica de ejecución remota de código (RCE) en Microsoft Message Queuing (MSMQ) se destaca como el problema más grave solucionado por Microsoft en su actualización del martes de parches de junio, en medio de otra caída más ligera de lo habitual que comprende poco más de 50 problemas.
Seguimiento como CVE-2024-30080 y atribuido a un investigador con sede en China k0shlla falla permite que una parte remota y no autenticada ejecute código arbitrario con privilegios elevados enviando un paquete malicioso especialmente diseñado a un servidor MSMQ.
Según Microsoft, la vulnerabilidad sólo se puede explotar si el servicio MSMQ, que es un componente de Windows, está habilitado y se puede alternar a través del Panel de control. También se recomienda a los usuarios que verifiquen si hay un servicio en ejecución llamado Message Queue Server y si el puerto TCP 1801 está escuchando en la máquina.
Tyler Reguly, director asociado de investigación y desarrollo de seguridad de Fortra, dijo que CVE-2024-30080 sería la vulnerabilidad más comentada revelada este mes.
“Microsoft le ha dado a la vulnerabilidad una puntuación CVSS de 9,8 y dijo que es más probable que se explote. Microsoft también recomendó deshabilitar el servicio hasta el momento en que pueda instalar la actualización”, dijo.
“Un par de búsquedas rápidas en Shodan revelan más de un millón de hosts ejecutándose con el puerto 1801 abierto y más de 3500 resultados para ‘msmq’. Dado que se trata de una ejecución remota de código, esperaría ver esta vulnerabilidad incluida en los marcos de explotación en un futuro próximo”.
Microsoft también enumeró este mes una vulnerabilidad de día cero de terceros rastreada como CVE-2023-50868, que también está llamando la atención de la comunidad cibernética. Atribuida a Elias Heftrig, Haya Schulmann, Niklas Vogel y Michael Waidner del Centro Nacional de Investigación de Ciberseguridad Aplicada de Alemania (ATHENE), esta vulnerabilidad fue asignada por MITRE Corporation en febrero de 2024.
CVE-2023-50868 existe en la función Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) del Sistema de nombres de dominio (DNS), que autentica las respuestas a las búsquedas de nombres de dominio. Si se explota, un actor malintencionado puede aprovechar los protocolos DNSSEC estándar utilizando recursos excesivos en un solucionador, lo que provoca que los usuarios legítimos experimenten una denegación de servicio (DoS).
Este es un problema grave y afecta a muchos más proveedores además de Microsoft. Tom Marsland, vicepresidente de tecnología de Cloud Range, dijo: “Según [the] investigadores que encontraron que la vulnerabilidad, que había estado presente en DNSSEC durante la mayor parte de dos décadas, un atacante ‘podría desactivar completamente grandes partes de Internet en todo el mundo’”.
En total, la actualización del martes de parches de junio incluye cinco vulnerabilidades DoS, 25 vulnerabilidades de elevación de privilegios (EoP), tres vulnerabilidades de divulgación de información y 18 vulnerabilidades RCE, todas clasificadas como importantes salvo por la falla crítica resaltada anteriormente.
La buena noticia, afirmó Chris Goettl, vicepresidente de productos de seguridad de Ivanti, es que abordar los problemas más urgentes no debería causar un dolor de cabeza significativo a los administradores de seguridad esta vez.
“[The] La actualización del sistema operativo Windows es la más urgente”, afirmó Goettl. “Entre el CVE crítico y el CVE divulgado públicamente, los riesgos más importantes se pueden resolver con la actualización del sistema operativo”.