Warum Sie die QueueJumper-Lücke sofort patchen sollten

Microsoft hat diese Woche mehr als 100 Schwachstellen in seinen Produkten gepatcht. Darunter befand sich auch eine Zero-Day-Schwachstelle, die von einer Ransomware-Bande ausgenutzt wurde. Außerdem stopfte Microsoft eine weitere Lücke in einer Windows-Komponente namens Microsoft Message Queuing (MSMQ). Diese könnte jedoch weiterhin in großem Umfang ausgenutzt werden, da viele Unternehmen nicht wissen, dass sie aktiv ist.

Die Schwachstelle mit dem Namen QueueJumper (CVE-2023-21554) wurde von Forschern des Sicherheitsunternehmens Check Point entdeckt. Die Gefahr: Cyberkriminelle können die Lücken missbrauchen, um aus der Ferne beliebigen Code einzuschleusen und auszuführen. Auf der CVSS-Schweregradskala wurde sie mit 9,8 von 10 Punkten bewertet. Microsoft hat dazu auch ein eigenes Advisory veröffentlicht.

Remote-Code-Ausführung im Legacy Message Queuing-Dienst

Obwohl MSMQ im Allgemeinen als veralteter Dienst betrachtet wird, der von neueren Kommunikationstechnologien abgelöst wurde, ist er immer noch als optionale Komponente in Windows 11 und der neuesten Version von Windows Server vorhanden. Darüber hinaus wird er von Anwendungen, die für seine Verwendung konzipiert sind, bei der Installation aktiviert, ohne dass Benutzer oder Administratoren dies bemerken.

MSMQ ermöglicht es Anwendungen, zu kommunizieren und die Zustellung von Nachrichten sicherzustellen, selbst wenn Netzwerke und Systeme vorübergehend offline sind. Dazu werden Nachrichten in einer Warteschlange gehalten. Der Dienst ist seit Windows NT enthalten und hat im Laufe der Jahre mehrere Versionen erfahren. Wenn er aktiv ist, nimmt er Kommunikation über TCP-Port 1801 entgegen.

Als Beispiele für den Einsatz von MSMQ nennt Microsoft geschäftskritische Finanzdienstleistungen für den elektronischen Handel, Embedded-Systeme und Handheld-Applikationen, die beispielsweise in Gepäcksortiersystemen auf Flughäfen eingesetzt werden. Auch bei Anwendungen zur Vertriebsautomatisierung für Außendienstmitarbeiter auf Reisen wird MSMQ genutzt.

Laut Haifei Li, Forscher bei Check Point, aktiviert eine in Unternehmen weit verbreitete Anwendung den MSMQ-Dienst während des Installationsprozesses mit Standardeinstellungen: Microsoft Exchange Server. Vor Ort installierte Microsoft Exchange Server waren in den vergangenen Jahren ein beliebtes Ziel für Angreifer, insbesondere für Cyberspionage-Gruppen.

"Wir wissen jetzt, dass der Angriffsvektor Pakete an den TCP-Port 1801 sendet", so Li. "Um ein besseres Verständnis der potenziellen Auswirkungen dieses Dienstes in der realen Welt zu erhalten, haben wir einen vollständigen Internet-Scan durchgeführt." Die Sicherheitsforscher stellten dabei fest, dass mehr als 360.000 IP-Adressen den TCP-Port 1801 nach außen geöffnet haben und den MSMQ-Dienst ausführen. "Dies umfasst jedoch nur die Anzahl der Hosts, die auf das Internet ausgerichtet sind. Dabei werden nicht die Computer berücksichtigt, die den MSMQ-Dienst in internen Netzwerken hosten, wo die Anzahl weitaus höher sein dürfte," betont der Check Point-Experte.

Der Security-Anbieter empfiehlt Administratoren, zu prüfen, ob der Message Queuing-Dienst auf den Systemen läuft und ob sie ihn deaktivieren können, ohne kritische Anwendungen zu beeinträchtigen. Wenn der Dienst benötigt wird und Microsofts Patch nicht sofort eingespielt werden kann, sollten Unternehmen den Zugriff auf den TCP-Port 1801 von nicht vertrauenswürdigen IP-Adressen mit einer Firewall blockieren. Beachten Sie, dass dies das System nicht vor Angriffen schützt, wenn ein lokales Netzwerk kompromittiert wird und Angreifer durch laterale Bewegungen eines der vertrauenswürdigen Systeme auf der IP-Whitelist der Firewall kompromittieren können. Lateral Movement ist eine gängige Technik, die von den meisten APT- und Ransomware-Gangs eingesetzt wird.

Weitere Windows-Schwachstellen, die sofort gepatcht werden sollten

Eine weitere Sicherheitslücke zur Remote-Code-Ausführung mit einem Schweregrad von 9,8, die der von MSMQ ähnelt, wurde in der Windows-Komponente Pragmatic General Multicast (PGM) gepatcht. Diese Schwachstelle wird unter der Bezeichnung CVE-2023-28250 geführt und hängt ebenfalls davon ab, dass MSMQ aktiv ist und das System Verbindungen über den TCP-Port 1801 annimmt. Microsoft hält die Ausnutzung dieser Schwachstelle jedoch für weniger wahrscheinlich.

Die von Microsoft gepatchte Zero-Day-Schwachstelle, die Berichten zufolge bereits von einer Ransomware-Bande namens Nokoyawa genutzt wird, wird als CVE-2023-28252 geführt und befindet sich im Windows Common Log File System (CLFS)-Treiber. Dabei handelt es sich um eine Schwachstelle mit dem Schweregrad 7.8, die nicht aus der Ferne , sondern nur lokal auf dem System ausgenutzt werden kann, um Codeausführung als SYSTEM zu erreichen. Microsoft hat im vergangenen Jahr bereits zwei ähnliche CLFS-Schwachstellen gepatcht.

"Im April 2023 wurden 45 separate RCE-Schwachstellen (Remote Code Execution) gepatcht, was einen deutlichen Anstieg gegenüber dem Durchschnitt von 33 pro Monat in den letzten drei Monaten darstellt", erklärt Adam Barnett, leitender Software-Ingenieur beim Sicherheitsunternehmen Rapid7, gegenüber CSO. "Microsoft stuft sieben der RCE-Schwachstellen in diesem Monat als kritisch ein, darunter zwei verwandte Schwachstellen mit einem CVSSv3-Basiswert von 9,8." (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.