Il bug di Microsoft MSMQ è in sfruttamento attivo. L’exploit RCE da 9,8 è online

I ricercatori e gli esperti di sicurezza informatica avvertono di una vulnerabilità critica nel servizio middleware Windows Message Queuing (MSMQ) che è stato corretto da Microsoft il Patch Tuesday e lascia centinaia di migliaia di sistemi vulnerabili agli attacchi.

MSMQ è disponibile in tutte le versioni di Windows come funzionalità facoltativa che fornisce alle applicazioni funzionalità di rete “recapito dei messaggi garantito” e può essere abilitato tramite PowerShell o il Pannello di controllo.

La vulnerabilità RCE CVE-2023-21554 (CVSS: 9.8) consente a un utente malintenzionato non autenticato di eseguire codice in remoto su server Windows senza patch utilizzando pacchetti MSMQ dannosi appositamente predisposti in attacchi a bassa complessità che non richiedono l’interazione dell’utente.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’elenco delle versioni server e client interessate di Windows include tutte le edizioni attualmente supportate fino alle ultime versioni di Windows 11 22H2 e Windows Server 2022 incluse.

Microsoft ha dichiarato di essere a conoscenza degli exploit della vulnerabilità e di essere un “obiettivo attraente per i criminali informatici”. Pertanto, i clienti dovrebbero dare maggiore priorità all’ultimo aggiornamento della sicurezza.

Secondo Check Point Research, oltre 360.000 server disponibili su Internet che eseguono il servizio MSMQ sono potenzialmente vulnerabili agli attacchi. Il numero di sistemi vulnerabili è molto più alto perché la stima di Check Point Research non include i dispositivi in reti chiuse.

Sebbene MSMQ sia un servizio middleware utilizzato da altri software, il servizio è in genere abilitato in background quando vengono installate le applicazioni aziendali e continua a essere eseguito anche dopo la disinstallazione delle applicazioni. Ad esempio, MSMQ viene abilitato automaticamente durante l’installazione di Exchange Server.

Gli esperti hanno notato che se MSMQ è abilitato su un server, un utente malintenzionato potrebbe potenzialmente sfruttare CVE-2023-21554 o qualsiasi altra vulnerabilità MSMQ e assumere il controllo del server. Secondo un’analisi di GreyNoise, attualmente 10 diversi indirizzi IP hanno già avviato la scansione dei server aperti su Internet.

Sebbene Microsoft abbia già corretto questo bug, la società ha anche consigliato agli amministratori che non possono applicare urgentemente gli aggiornamenti di disabilitare il servizio Windows MSMQ (se possibile) per rimuovere il vettore di attacco. 

Le organizzazioni che non possono disabilitare MSMQ o installare un hotfix Microsoft possono bloccare le connessioni 1801/TCP da fonti non attendibili utilizzando le regole del firewall.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.