Investigadores y expertos en seguridad advierten sobre una vulnerabilidad crítica en el servicio de middleware de Windows Message Queuing (MSMQ) parcheado por Microsoft durante el martes de parches de este mes y que expone a cientos de miles de sistemas a ataques.
MSMQ está disponible en todos los sistemas operativos Windows como un componente opcional que proporciona aplicaciones con capacidades de comunicación de red con "entrega de mensajes garantizada" y se puede habilitar a través de PowerShell o el Panel de control.
La falla (CVE-2023-21554) permite a los atacantes no autenticados obtener la ejecución remota de código en servidores Windows sin parches utilizando paquetes MSMQ maliciosos especialmente diseñados en ataques de baja complejidad que no requieren la interacción del usuario y clientes de Windows afectados incluye todas las versiones admitidas actualmente hasta las últimas versiones, Windows 11 22H2 y Windows Server 2022.
Más de 360.000 servidores MSMQ expuestos a ataques
En los recientes estudios revelan que el impacto potencial de CVE-2023-21554, va a aproximadamente 360 000 servidores expuestos a Internet que ejecutan el servicio MSMQ y son potencialmente vulnerables a los ataques. Es probable que la cantidad de sistemas sin parches sea mucho mayor, ya que la estimación no incluye dispositivos que ejecutan el servicio MSMQ a los que no se puede acceder a través de Internet.
Aunque es un componente opcional de Windows que no está habilitado de forma predeterminada en la mayoría de los sistemas, al ser un servicio de middleware utilizado por otro software, el servicio normalmente se activará en segundo plano al instalar aplicaciones empresariales y seguirá ejecutándose incluso después de desinstalar aplicaciones.
Si bien Microsoft ya ha abordado este error y otras 96 fallas de seguridad aconsejó a los administradores que no pueden implementar el parche de inmediato que deshabiliten el servicio Windows MSMQ (si es posible) para eliminar el vector de ataque.
Las organizaciones que no pueden deshabilitar inmediatamente MSMQ o implementar el parche de Microsoft también pueden bloquear las conexiones 1801/TCP de fuentes no confiables mediante reglas de firewall.
Fuente: Bleenpingcomputer