si el ultimo El martes de parches se centró en corregir una falla de día cero explotada por bandas de ransomware, otra vulnerabilidad merece especial atención. Llamado QueueJumper, CVE-2023-21554, descubierto por investigadores de Check Point Software, tiene una calificación de 9,8 sobre 10 en la escala de gravedad CVSS. la opinión de microsoft indica que la complejidad del ataque es baja y la evaluación de la explotabilidad es más probable. Su impacto es la ejecución remota de código.

Índice
  1. Ejecución remota de código en el servicio heredado de Message Queue Server
  2. Otras vulnerabilidades críticas de Windows a tener en cuenta

Ejecución remota de código en el servicio heredado de Message Queue Server

La infracción se encuentra en un componente de Windows llamado servicio Microsoft Message Queuing (MSMQ), que permite que las aplicaciones se comuniquen y garanticen la entrega de mensajes incluso cuando las redes y los sistemas están temporalmente fuera de línea, manteniendo los mensajes en una cola. Con el tiempo, este servicio, presente en Windows desde Windows NT, ha pasado por varias versiones. Cuando está activo, el servicio acepta comunicaciones en el puerto TCP 1801. Aunque MSMQ generalmente se considera un servicio más antiguo que ha sido reemplazado por tecnologías de comunicaciones más nuevas, todavía existe como un componente opcional en Windows 11 y la última versión de Windows Server. Además, las aplicaciones diseñadas para utilizarlo lo activarán en el momento de la instalación, sin que los usuarios ni administradores lo sepan. La documentación de Microsoft proporciona ejemplos de casos de uso de MSMQ por servicios financieros críticos para el comercio electrónico, por aplicaciones integradas y móviles como las utilizadas en sistemas de manejo de equipaje en aeropuertos y por aplicaciones de automatización de ventas para representantes de ventas que viajan. Pero, como esta documentación se redactó en 2016, hay pocas posibilidades de que la lista de aplicaciones esté actualizada y sea exhaustiva.

De hecho, según el investigador de Check Point Haifei Li, la aplicación Microsoft Exchange Server, ampliamente utilizada por las empresas, habilita el servicio MSMQ durante el proceso de instalación con la configuración predeterminada. En los últimos años, los servidores Exchange locales han sido un objetivo popular para los atacantes, en particular los grupos de ciberespionaje. "Ahora sabemos que el vector de ataque envía paquetes al puerto de servicio 1801/tcp", dijo el experto. “Para comprender mejor el impacto potencial de este servicio en el mundo real, Check Point Research realizó un análisis exhaustivo de Internet. Sorprendentemente, descubrimos que más de 360.000 direcciones IP tenían una dirección 1801/tcp abierta en Internet y ejecutaban el servicio MSMQ”, añadió. Este último también especifica que esta cifra solo incluye la cantidad de hosts en el front-end de Internet y no tiene en cuenta las computadoras que alojan el servicio MSMQ en redes internas, donde la cantidad debería ser mucho mayor. Check Point recomienda que los administradores determinen si el servicio Message Queue Server está funcionando en sus sistemas y si pueden desactivarlo sin afectar las aplicaciones críticas. Si el servicio es necesario y el parche de Microsoft no se puede aplicar de inmediato, las empresas deben bloquear el acceso al puerto TCP 1801 desde direcciones IP que no sean de confianza mediante un firewall. Haifei Li, sin embargo, cree que esto no protegerá el sistema contra ataques en caso de intrusión en la red local y movimiento lateral que permita a los atacantes comprometer uno de los sistemas confiables en la lista blanca de IP del firewall. El movimiento lateral es una técnica común empleada por la mayoría de las bandas APT y ransomware.

Otras vulnerabilidades críticas de Windows a tener en cuenta

Otra vulnerabilidad de ejecución remota de código con una puntuación de gravedad de 9,8, similar a MSMQ, se ha solucionado en el componente Pragmatic General Multicast (PGM) de Windows. Esta falla aparece como CVE-2023-28250 y también depende de que MSMQ esté habilitado y que el sistema acepte conexiones en el puerto TCP 1801. Sin embargo, Microsoft considera que la explotación de esta falla, enumerada bajo la referencia CVE-2023-28252, es menos probable. . La vulnerabilidad de día cero parcheada por Microsoft, que supuestamente fue utilizada anteriormente por una banda de ransomware llamada Nokoyawa, se encuentra en el controlador del Sistema de archivos de registro común de Windows (CLFS).

A esta vulnerabilidad de escalada de privilegios se le asignó una puntuación de gravedad de 7,8 y no se puede explotar de forma remota, pero sí se puede explotar localmente en el sistema para lograr la ejecución del código como SISTEMA. Microsoft parchó dos vulnerabilidades CLFS similares en febrero de 2023 y septiembre de 2022. "A partir de abril de 2023, se han parcheado 45 vulnerabilidades de ejecución remota de código (RCE), lo que representa un aumento significativo del promedio de 33 por mes durante los últimos tres meses. Adam Barnett, ingeniero jefe de software de la empresa de seguridad Rapid7, dijo por correo electrónico que este mes Microsoft calificó muchas vulnerabilidades de RCE como críticas, incluidas dos. vulnerabilidades relacionadas con una puntuación CVSSv3 de 9,8.