Peneliti dan pakar keamanan memperingatkan tentang kerentanan kritis dalam layanan middleware Windows Message Queuing (MSMQ) yang ditambal oleh Microsoft selama Patch Tuesday bulan ini dan mengekspos ratusan ribu sistem untuk diserang.
MSMQ tersedia di semua sistem operasi Windows sebagai komponen opsional yang menyediakan aplikasi dengan kemampuan komunikasi jaringan dengan “pengiriman pesan terjamin”, dan dapat diaktifkan melalui PowerShell atau Panel Kontrol.
Kelemahan (CVE-2023-21554) memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh pada server Windows yang belum di-patch menggunakan paket MSMQ berbahaya yang dibuat khusus dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.
Daftar versi klien dan server Windows yang terpengaruh mencakup semua rilis yang saat ini didukung hingga versi terbaru, Windows 11 22H2 dan Windows Server 2022.
Redmond juga telah melampirkan tag “eksploitasi lebih mungkin” ke CVE-2023-21554, mengingat bahwa “menyadari contoh masa lalu dari jenis kerentanan yang dieksploitasi,” yang menjadikannya “target yang menarik bagi penyerang.”
“Dengan demikian, pelanggan yang telah meninjau pembaruan keamanan dan menentukan penerapannya dalam lingkungan mereka harus memperlakukan ini dengan prioritas yang lebih tinggi,” Microsoft memperingatkan.
Peneliti keamanan Wayne Low dari FortiGuard Lab Fortinet dan Haifei Li dari Check Point Research dikreditkan karena melaporkan kelemahan tersebut ke Microsoft.
Lebih dari 360.000 server MSMQ terkena serangan
Check Point Research juga membagikan perincian tambahan mengenai potensi dampak CVE-2023-21554, mengatakan bahwa mereka menemukan lebih dari 360.000 server yang terpapar Internet menjalankan layanan MSMQ dan berpotensi rentan terhadap serangan.
Jumlah sistem yang belum ditambal kemungkinan jauh lebih tinggi, mengingat perkiraan Check Point Research tidak menyertakan perangkat yang menjalankan layanan MSMQ yang tidak dapat dijangkau melalui Internet.
Meskipun ini merupakan komponen Windows opsional yang tidak diaktifkan secara default di sebagian besar sistem, menjadi layanan middleware yang digunakan oleh perangkat lunak lain, layanan ini biasanya akan diaktifkan di latar belakang saat memasang aplikasi perusahaan dan akan tetap berjalan bahkan setelah menguninstall aplikasi.
Misalnya, Check Point Research menemukan bahwa MSMQ akan diaktifkan secara otomatis selama penginstalan Exchange Server.
“CPR melihat bahwa saat menginstal Microsoft Exchange Server resmi, aplikasi wizard penyiapan akan mengaktifkan layanan MSMQ di latar belakang jika pengguna memilih opsi ‘Instal otomatis peran dan fitur Windows Server yang diperlukan untuk menginstal Exchange’, yang direkomendasikan oleh Microsoft,” kata para peneliti.
“Yang penting adalah jika MSMQ diaktifkan di server, penyerang berpotensi mengeksploitasi ini atau kerentanan MSMQ apa pun dan mengambil alih server.”
Sejak Selasa, perusahaan intelijen siber GreyNoise telah dimulai melacak upaya koneksi MSMQdan saat ini menunjukkan sepuluh alamat IP berbeda yang telah mulai memindai server yang terpapar Internet.
Meskipun Microsoft telah mengatasi bug ini dan 96 kelemahan keamanan lainnya sebagai bagian dari April Patch Tuesday, Microsoft juga menyarankan admin yang tidak dapat segera menggunakan patch untuk menonaktifkan layanan Windows MSMQ (jika memungkinkan) untuk menghapus vektor serangan.
“Anda dapat memeriksa untuk melihat apakah ada layanan yang berjalan bernama Message Queuing dan TCP port 1801 mendengarkan di mesin,” Microsoft dikatakan.
Organisasi yang tidak dapat langsung menonaktifkan MSMQ atau menerapkan patch Microsoft juga dapat memblokir koneksi 1801/TCP dari sumber yang tidak tepercaya menggunakan aturan firewall.
