Сотни тысяч систем Windows под угрозой атак из-за критической уязвимости Windows Message Queuing

[Artifact]

Компания призвала срочно обновиться, чтобы не потерять контроль над своим сервером.
Исследователи и эксперты в области кибербезопасности предупреждают о критической уязвимости в службе промежуточного ПО Windows Message Queuing (MSMQ), которая была исправлена ​​Microsoft во вторник исправлений и делает сотни тысяч систем уязвимыми для атак.
MSMQ доступен во всех версиях Windows в качестве дополнительного компонента, который предоставляет приложениям возможности сетевого взаимодействия с «гарантированной доставкой сообщений», и его можно включить с помощью PowerShell или панели управления.
RCE-уязвимость CVE-2023-21554 ( CVSS: 9.8 ) позволяет злоумышленнику, не прошедшему проверку подлинности, удаленно выполнить код на неисправленных серверах Windows, используя специально созданные вредоносные пакеты MSMQ в атаках низкой сложности, которые не требуют взаимодействия с пользователем.
Список затрагиваемых серверных и клиентских версий Windows включает все поддерживаемые в настоящее время выпуски вплоть до последних версий Windows 11 22H2 и Windows Server 2022.
Microsoft заявила, что ей известно о случаях использования уязвимости и что она является «привлекательной целью для киберпреступников». Поэтому клиенты должны отдать более высокий приоритет последнему обновлению безопасности.
По данным Check Point Research, более 360 000 доступных в Интернете серверов, на которых запущена служба MSMQ, потенциально уязвимы для атак. Количество уязвимых систем гораздо больше, так как оценка Check Point Research не учитывает устройства, недоступные в Интернете.
Несмотря на то, что MSMQ является службой промежуточного ПО, используемой другим программным обеспечением, служба обычно включается в фоновом режиме при установке корпоративных приложений и продолжает работать даже после удаления приложений. Например, MSMQ автоматически включается во время установки Exchange Server.
Эксперты отметили, что, если MSMQ включен на сервере, злоумышленник потенциально может воспользоваться CVE-2023-21554 или любой другой уязвимостью MSMQ и захватить сервер.
Согласно анализу компании GreyNoise, в настоящее время 10 различных IP-адресов уже начали сканирование серверов, открытых в Интернете.

Попытки сканирования MSMQ
Хотя Microsoft уже устранила эту ошибку, корпорация также посоветовала администраторам, которые не могут срочно применить обновления, отключить службу Windows MSMQ (если это возможно) для удаления вектора атаки. Организации, которые не могут отключить MSMQ или установить исправление Microsoft, могут заблокировать соединения 1801/TCP из ненадежных источников с помощью правил брандмауэра.