Krytyczna luka umożliwiająca zdalne wykonanie kodu (RCE) w usłudze Microsoft Message Queuing (MSMQ) jest najpoważniejszym problemem załatanym przez firmę Microsoft w czerwcowym wydaniu Łatka we wtorek aktualizację, pośród kolejnej lżejszej niż zwykle aktualizacji obejmującej nieco ponad 50 numerów.
Śledzone jako CVE-2024-30080i przypisywane badaczowi z Chin k0shlluka umożliwia zdalnej, nieuwierzytelnionej stronie wykonanie dowolnego kodu z podwyższonymi uprawnieniami poprzez wysłanie specjalnie spreparowanego szkodliwego pakietu do serwera MSMQ.
Według Microsoftu lukę można wykorzystać tylko wtedy, gdy usługa MSMQ – będąca komponentem systemu Windows – jest włączona, co można przełączać dzięki Panelu sterowania. Użytkownikom zaleca się także sprawdzenie, czy działa usługa o nazwie Message Queuing i czy na komputerze nasłuchuje port TCP 1801.
Regula Tylera, Fortra zastępca dyrektora ds. badań i rozwoju w zakresie bezpieczeństwa, powiedział, iż luka CVE-2024-30080 będzie najczęściej omawianą luką ujawnioną w tym miesiącu.
„Microsoft przyznał luce ocenę CVSS na poziomie 9,8 i stwierdził, iż wykorzystanie jest bardziej prawdopodobne. Microsoft zalecił również wyłączenie usługi do czasu, gdy będzie można zainstalować aktualizację” – powiedział.
„Kilka szybkich wyszukiwań Shodan ujawnia ponad milion hostów działających z otwartym portem 1801 i ponad 3500 wyników dla „msmq”. Biorąc pod uwagę, iż jest to zdalne wykonanie kodu, spodziewam się, iż w najbliższej przyszłości ta luka zostanie uwzględniona w frameworkach exploitów”.
Firma Microsoft wymieniła w tym miesiącu także lukę dnia zerowego firmy trzeciej, śledzoną jako CVE-2023-50868, co również przyciąga uwagę społeczności cybernetycznej. Przypisy autorstwa Eliasa Heftriga, Hayi Schulmanna, Niklasa Vogela i Michaela Waidnera z Niemieckie Narodowe Centrum Badań nad Cyberbezpieczeństwem Stosowanym (ATHENE), luka ta została przypisana przez firmę MITER Corporation już w lutym 2024 r.
CVE-2023-50868 istnieje w Rozszerzenia zabezpieczeń systemu nazw domen (DNSSEC) funkcja systemu nazw domen (DNS), która uwierzytelnia odpowiedzi na wyszukiwania nazw domen. W przypadku wykorzystania złośliwy aktor może wykorzystać standardowe protokoły DNSSEC, zużywając nadmierne zasoby modułu rozpoznawania nazw, powodując, iż legalni użytkownicy doświadczają odmowy usługi (DoS).
Jest to poważny problem, który dotyczy znacznie większej liczby dostawców niż tylko Microsoft. Tom Marsland, wiceprezes ds. technologii w firmie Zasięg chmurpowiedział: „Według [the] badacze, którzy odkryli lukę, która była obecna w DNSSEC przez większą część dwóch dekad, osoba atakująca „może całkowicie wyłączyć duże części ogólnoświatowego Internetu”.
Podsumowując, aktualizacja z czerwcowej łatki we wtorek zawiera pięć luk DoS, 25 luk w zabezpieczeniach związanych z podniesieniem uprawnień (EoP), trzy luki umożliwiające ujawnienie informacji i 18 luk RCE – wszystkie ocenione jako ważne, z wyjątkiem krytycznej wady podkreślonej powyżej.
Dobra wiadomość, powiedział Chris Goettl, wiceprezes ds. produktów zabezpieczających w firmie Ivantijest to, iż zajęcie się najpilniejszymi kwestiami nie powinno tym razem przyprawić administratorów bezpieczeństwa o poważny ból głowy.
„[The] Najpilniejsza jest aktualizacja systemu operacyjnego Windows” – powiedział Goettl. „Pomiędzy krytycznym a publicznie ujawnionym CVE najbardziej znaczące ryzyko można wyeliminować dzięki aktualizacji systemu operacyjnego”.
