Η υπηρεσία Message Queuing-MSMQ της Microsoft, που αποτελεί αναπόσπαστο μέρος του λειτουργικού συστήματος Windows, βρέθηκε να κρύβει μια σοβαρή ευπάθεια ασφαλείας.
Αναγνωρισμένη ως CVE-2023-21554 και καταταγμένη με υψηλή βαθμολογία CVSS 9,8, αποτελεί κρίσιμη απειλή για επιθέσεις στον κυβερνοχώρο, επιτρέποντας στους χάκερ να εκτελούν κώδικα εξ αποστάσεως και χωρίς καμία μορφή πιστοποίησης.
Η ανακάλυψη αυτή έγινε από την ομάδα της Check Point Research, η οποία ανέφερε το ελάττωμα στη Microsoft. Επιδιορθώθηκε στην ενημερωμένη έκδοση Patch Tuesday του Απριλίου. Ωστόσο, ο κίνδυνος απέχει πολύ από το να εξαλειφθεί τελείως.
Το MSMQ είναι ένα κρίσιμο κομμάτι της υποδομής των Windows – μια πλατφόρμα μηνυμάτων και ανάπτυξης που έχει σχεδιαστεί για τη δημιουργία συνδεδεμένων, κατανεμημένων εφαρμογών ανταλλαγής μηνυμάτων. Εξασφαλίζει εγγυημένη παράδοση μηνυμάτων, αποτελεσματική δρομολόγηση, ασφάλεια, υποστήριξη συναλλαγών και ανταλλαγή μηνυμάτων βάσει προτεραιότητας.
Οι ευέλικτες δυνατότητές του επιτρέπουν στις εφαρμογές να επικοινωνούν σε ποικίλα δίκτυα και ακόμη και με υπολογιστές εκτός σύνδεσης. Όμως, κάτω από αυτό το επίχρισμα χρησιμότητας κρυβόταν ένας δράκος που κοιμόταν.
Η ευπάθεια επέτρεπε σε έναν εισβολέα να εκμεταλλευτεί το σύστημα μέσω της θύρας TCP 1801, αποκτώντας δυνητικά τον έλεγχο ολόκληρης της διαδικασίας με την απλή αποστολή ενός κακόβουλου πακέτου σε αυτή τη θύρα, ενεργοποιώντας έτσι την ευπάθεια. Η κακόβουλη χρήση, δίνει τη δυνατότητα απομακρυσμένης εκτέλεσης κώδικα χωρίς να χρειάζεται οποιασδήποτε μορφής εξουσιοδότηση και ουσιαστικά άνοιξε τους ασκούς του Αιόλου σε πιθανές κυβερνοεπιθέσεις.
“Για την εκμετάλλευση αυτής της ευπάθειας, ένας εισβολέας θα πρέπει να στείλει ένα ειδικά διαμορφωμένο κακόβουλο πακέτο MSMQ σε έναν διακομιστή MSMQ. Αυτό θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα στην πλευρά του διακομιστή”, δήλωσε η Microsoft.
Παρέχοντας μια τεχνική ανάλυση, ο ερευνητής Zoemurmure ανέπτυξε ένα Proof-of-Concept (PoC) για την εκμετάλλευση του ελαττώματος CVE-2023-21554. Αυτό το PoC, αφού προσαρμοζόταν στη διεύθυνση IP του μηχανήματος-στόχου, μπορούσε να εκτελέσει μια διαδικασία που προκαλούσε την κατάρρευση της διαδικασίας της υπηρεσίας mqsvc.exe. Ωστόσο, η ύπουλη φύση του exploit σημαίνει ότι δεν θα υπήρχαν εμφανείς πληροφορίες διαλόγου. Θα μπορούσε κανείς να εντοπίσει αυτή την ανωμαλία μόνο μέσω μιας παρακολούθησης διεργασιών, υπογραμμίζοντας τη μυστικότητα με την οποία λειτουργεί αυτή η ευπάθεια.
Για την ευπάθεια CVE-2023-21554 έχει γίνει διαθέσιμος ένας κώδικας (PoC), καθιστώντας επιτακτική την ανάγκη οι χρήστες να προχωρήσουν γρήγορα στην εφαρμογή των διορθώσεων.