资安业者Check Point Research本周呼吁,企业的IT管理人员应尽速修补微软于4月Patch Tuesday所修补的Microsoft Message Queuing(MSMQ)漏洞CVE-2023-21554。
微软的消息排队列(Message Queuing)技术可让异质网络与系统上,于不同时间执行的应用程序能够彼此通讯,应用程序可传送消息至排队列,或是自伫列读取消息。 此一器件支持所有的Windows操作系统,包括Windows 11与Windows Server 2022,但它是选择性安装的。
由Check Point Research与FortiGuard Lab发现的CVE-2023-21554漏洞,允许骇客传送恶意封包到MSMQ服务器上,并于服务器上执行任意程序,包括接管服务器。 它是微软本月所修补的安全漏洞中,CVSS风险评分最高的其中一个,达9.8。
Check Point Research首席漏洞研究人员Haifei Li指出,黑客只要传送一个封包到1801 TCP端口就有机会触发该漏洞,此外,即便系统预设并未安装MSMQ,但MSMQ属于中介软件,在用户安装许多热门商用软件时,这些软件的安装程序就会启用Windows中的MSMQ,或许连用户自己都没意识到。
例如在安装微软的Microsoft Exchange Server时,若是选择微软所建议的「自动安装Exchange所需的Windows Server角色与功能」,那么它便会于背景启用MSMQ。
图片来源/Check Point
根据Check Point Research的统计,全球公开网络上约可找到逾36万个执行MSMQ服务的IP,同时它们的1801 TCP端口是开启的,而且此一数字并未纳入企业内部网络。
Li建议IT管理人员都应检查服务器与客户端是否安装了MSMQ服务,并尽快部署官方修补程序。 倘若不需要该服务,最好将它关闭,若无法立即修补,则可利用防火墙规则,暂时禁止1801 TCP端口接受不明来源的链接。
