Pesquisadores e especialistas em segurança alertam para uma vulnerabilidade crítica no serviço intermediário Windows Message Queuing (MSMQ), corrigida pela Microsoft durante a atualização de segurança do mês e expondo centenas de milhares de sistemas a ataques.
O MSMQ está disponível em todos os sistemas operacionais Windows como um componente opcional que fornece às aplicações capacidades de comunicação de rede com "entrega de mensagem garantida" e pode ser habilitado via PowerShell ou Painel de Controle.
A falha (
CVE-2023-21554
) permite que atacantes não autenticados obtenham execução remota de código em servidores Windows desatualizados usando pacotes maliciosos MSMQ especialmente criados em ataques de baixa complexidade que não exigem interação do usuário.
A lista de versões de clientes e servidores Windows afetados inclui todas as versões atualmente suportadas até as últimas versões, Windows 11 22H2 e Windows Server 2022.
A Microsoft também anexou uma tag de "exploração mais provável" ao
CVE-2023-21554
, dado que está "ciente de casos anteriores desta vulnerabilidade sendo explorada", o que a torna "um alvo atraente para atacantes".
"Portanto, os clientes que revisaram a atualização de segurança e determinaram sua aplicabilidade em seu ambiente devem considerar isso como uma prioridade maior", adverte a Microsoft.
Wayne Low, do FortiGuard Lab da Fortinet, e Haifei Li, do Check Point Research, foram creditados por reportarem a falha à Microsoft.
O Check Point Research também compartilhou detalhes adicionais sobre o impacto potencial do
CVE-2023-21554
, afirmando que encontrou mais de 360.000 servidores expostos à Internet executando o serviço MSMQ e potencialmente vulneráveis a ataques.
O número de sistemas desatualizados é provavelmente muito maior, visto que a estimativa do Check Point Research não inclui dispositivos executando o serviço MSMQ que não são alcançáveis pela Internet.
Embora seja um componente opcional do Windows que não é habilitado por padrão na maioria dos sistemas, sendo um serviço intermediário usado por outros softwares, o serviço geralmente será ativado em segundo plano ao instalar aplicativos empresariais e permanecerá em execução mesmo após a desinstalação dos aplicativos.
Por exemplo, o Check Point Research descobriu que o MSMQ será automaticamente habilitado durante as instalações do Exchange Server.
"CPR viu que, ao instalar o Microsoft Exchange Server oficial, o aplicativo do assistente de configuração habilitaria o serviço MSMQ em segundo plano se o usuário selecionasse a opção 'Instalar automaticamente funções e recursos do Windows Server necessários para instalar o Exchange', que é recomendada pela Microsoft", disseram os pesquisadores.
"A lição importante é que, se o MSMQ estiver habilitado em um servidor, o atacante poderá potencialmente explorar essa ou qualquer outra vulnerabilidade do MSMQ e assumir o controle do servidor."
Desde terça-feira, a empresa de ciberinteligência GreyNoise começou a rastrear tentativas de conexão do MSMQ e mostra atualmente dez endereços IP diferentes que já começaram a escanear servidores expostos à Internet.
Embora a Microsoft já tenha corrigido esse bug e outras 96 falhas de segurança como parte da atualização de segurança de abril, ela também aconselhou os administradores que não podem implantar imediatamente a correção a desativar o serviço Windows MSMQ (se possível) para remover o vetor de ataque.
"Você pode verificar se há um serviço em execução com o nome Message Queuing e a porta TCP 1801 está ouvindo na máquina", disse a Microsoft.
Organizações que não podem desativar imediatamente o MSMQ ou implantar a correção da Microsoft também podem bloquear as conexões 1801/TCP de fontes não confiáveis usando regras de firewall.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...