Investigadores y expertos en seguridad advierten sobre una vulnerabilidad crítica en el servicio de middleware de Windows Message Queuing (MSMQ) parchado por Microsoft durante el martes de parches de este mes y que expone a cientos de miles de sistemas a ataques.
MSMQ está disponible en todos los sistemas operativos Windows como un componente opcional que proporciona aplicaciones con capacidades de comunicación de red con «entrega de mensajes garantizada» y se puede habilitar a través de PowerShell o el Panel de control.
La falla ( CVE-2023-21554 ) permite a los atacantes no autenticados obtener la ejecución remota de código en servidores Windows sin parches utilizando paquetes MSMQ maliciosos especialmente diseñados en ataques de baja complejidad que no requieren la interacción del usuario.
La lista de versiones de servidores y clientes de Windows afectadas incluye todas las versiones admitidas actualmente hasta las últimas versiones, Windows 11 22H2 y Windows Server 2022.
Redmond también adjuntó una etiqueta de «explotación más probable» a CVE-2023-21554, dado que es «consciente de instancias pasadas de este tipo de vulnerabilidad explotada», lo que lo convierte en «un objetivo atractivo para los atacantes».
«Como tal, los clientes que revisaron la actualización de seguridad y determinaron su aplicabilidad dentro de su entorno deben tratar esto con mayor prioridad», advierte Microsoft .
Los investigadores de seguridad Wayne Low de FortiGuard Lab de Fortinet y Haifei Li de Check Point Research fueron acreditados por informar la falla a Microsoft.
Más de 360.000 servidores MSMQ expuestos a ataques
Check Point Research también compartió detalles adicionales sobre el impacto potencial de CVE-2023-21554, y dijo que encontró más de 360 000 servidores expuestos a Internet que ejecutan el servicio MSMQ y son potencialmente vulnerables a los ataques.
Es probable que la cantidad de sistemas sin parches sea mucho mayor, ya que la estimación de Check Point Research no incluye dispositivos que ejecutan el servicio MSMQ a los que no se puede acceder a través de Internet.
Aunque es un componente opcional de Windows que no está habilitado de forma predeterminada en la mayoría de los sistemas, al ser un servicio de middleware utilizado por otro software, el servicio normalmente se activará en segundo plano al instalar aplicaciones empresariales y seguirá ejecutándose incluso después de desinstalar aplicaciones.
Por ejemplo, Check Point Research descubrió que MSMQ se habilitará automáticamente durante las instalaciones de Exchange Server.
«CPR vio que al instalar el servidor oficial de Microsoft Exchange, la aplicación del asistente de configuración habilitaría el servicio MSMQ en segundo plano si el usuario selecciona la opción ‘Instalar automáticamente las funciones y funciones de Windows Server que se requieren para instalar Exchange’, que es recomendada por Microsoft», dijeron los investigadores .
«Lo importante es que si MSMQ está habilitado en un servidor, el atacante podría explotar esta o cualquier vulnerabilidad de MSMQ y apoderarse del servidor».
Desde el martes, la compañía de ciberinteligencia GreyNoise comenzó a rastrear los intentos de conexión de MSMQ y actualmente muestra diez direcciones IP diferentes que ya comenzaron a buscar servidores expuestos a Internet.
Si bien Microsoft ya ha abordado este error y otras 96 fallas de seguridad como parte del martes de parches de abril, también aconsejó a los administradores que no pueden implementar el parche de inmediato que deshabiliten el servicio MSMQ de Windows (si es posible) para eliminar el vector de ataque.
«Puede verificar si hay un servicio en ejecución llamado Message Queue Server y el puerto TCP 1801 está escuchando en la máquina», dijo Microsoft .
Las organizaciones que no pueden deshabilitar inmediatamente MSMQ o implementar el parche de Microsoft también pueden bloquear las conexiones 1801/TCP de fuentes no confiables mediante reglas de firewall.}
Fuente y redacción: bleepingcomputer.com