[English]Im Microsoft Message Queuing-Dienst (MSMQ) gibt es eine Remote Code Execution-Schwachstelle CVE-2023-21554, die mit einem CVEv3 Score 9.8 als kritisch eingestuft wurde. Microsoft hat am 11. April 2023 hat Sicherheitsupdates für Windows-Clients und -Server veröffentlicht, die auch diese Schwachstelle beseitigen. Wer seine Systeme noch nicht aktualisiert hat, sollte den Patch zeitnah einspielen, oder zumindest die Schwachstelle entschärfen.
Anzeige
Schwachstelle CVE-2023-21554 im MSMQ-Dienst
Am 11. April 2023 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server veröffentlicht, die 97 CVE-Schwachstellen in Microsoft-Produkten beseitigen. Dazu gehört auch die RCE-Schwachstelle CVE-2023-21554 im Microsoft Message Queuing-Dienst (MSMQ). Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein speziell gestaltetes MSMQ-Paket an einen betroffenen MSMQ-Server sendet.
Microsoft weist darauf hin, dass zur Ausnutzung dieser Schwachstelle der Windows Message Queuing Service aktiviert sein muss. Wenn der Dienst aktiviert ist, wird der TCP-Port 1801 auf dem Host überwacht. Entdeckt wurde die Schwachstelle von Wayne Low (FortiGuard Lab) und Haifei Li (Check Point Research). Ich hatte im Beitrag Microsoft Security Update Summary (11. April 2023) auf das Thema hingewiesen.
Eine tiefergehende Analyse wurde von Check Point Research gemäß obigem Tweet im Artikel QUEUEJUMPER: CRITICAL UNAUTHENTICATED RCE VULNERABILITY IN MSMQ SERVICE veröffentlicht. Die Sicherheitsforscher haben sogar drei Schwachstellen im "Microsoft Message Queuing"-Dienst (MSMQ) entdeckt. Diese Schwachstellen wurden Microsoft mitgeteilt und mit dem April-Patch Tuesday-Update behoben. Die schwerwiegendste dieser Schwachstellen (CVE-2023-21554) ist die oben erwähnte, kritische Schwachstelle, die es nicht authentifizierten Angreifern remote ermöglichen könnte, beliebigen Code im Kontext des Windows-Dienstprozesses mqsvc.exe aus der Ferne auszuführen.
Anzeige
Sicherheitsupdates für Windows
Microsoft hat zum 11. April 2023 die nachfolgend genannten Sicherheitsupdates für Windows Clients und Server veröffentlicht, die auch die Schwachstellen im MSMQ-Dienst schließen:
- KB5025279: Windows 7 SP1 and Windows Server 2008 R2 SP1 (Monthly Quality Rollup)
- KB5025277: Windows 7 SP1 und Windows Server 2008 R2 SP1 (Security-only Update)
- KB5025285: Windows Server 2012 R2 (Monthly Rollup Update)
- KB5025288: Windows Server 2012 R2 (Security Only Quality Update)
- KB5025287 : Windows Server 2012 (Monthly Rollup Update)
- KB5025272: Windows Server 2012 ( (Security-only Quality Update)
- KB5025221: Windows 10 Version 20H2 – 22H2
- KB5025229: Windows 10 Enterprise 2019 LTSC /Windows Server 2019
- KB5025228: Windows 10 Enterprise LTSC / Windows Server 2016
- KB5025234: Windows 10 Enterprise LTSC
- KB5025239: Windows 11 22H2
- KB5025224: Windows 11 21H2
- KB5025230: Windows Server 2022
Die Updates werden von Microsoft auf der Seite für CVE-2023-21554 aufgeführt und sind in nachfolgenden Blog-Beiträgen mit ihren Fixes beschrieben. Sicherheitsforscher haben das Internet nach exponierten Microsoft Message Queuing (MSMQ) Diensten auf IPv4/IPv6 gescannt und laut diesem Tweet mehr als 400.000 angreifbare Instanzen gefunden.
Ähnliche Artikel:
Microsoft Security Update Summary (11. April 2023)
Patchday: Windows 10-Updates (11. April 2023)
Patchday: Windows 11/Server 2022-Updates (11. April 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (11. April 2023)
Anzeige
Vielleicht noch ergänzend:
Der Dienst ist standardmäßig auf den Systemen nicht aktiviert, auch nicht auf Servern. Auf einem Server, auf dem z.B. Exchange läuft, aber sehr wohl. Und laut 'netstat' lauscht 'mqsvc' dort nicht nur hinter dem Port 1801.