Questa settimana Microsoft ha patchato oltre 100 vulnerabilità nei suoi prodotti, tra cui una falla zero-day per l’escalation dei privilegi utilizzata da un gruppo di ransomware. Tuttavia, un’altra vulnerabilità critica che può essere facilmente sfruttata per impadronirsi dei sistemi Windows da remoto attraverso le reti locali e Internet sarà probabilmente più interessante per gli aggressori e verrà sfruttata in modo diffuso in futuro.

Denominata QueueJumper e classificata come CVE-2023-21554, la falla è stata scoperta dai ricercatori della società di sicurezza Check Point Software Technologies ed è classificata con un punteggio di 9,8 su 10 nella scala di gravità CVSS. L’advisory di Microsoft indica la complessità dell’attacco come bassa e la valutazione di sfruttabilità come più probabile. L’impatto è l’esecuzione di codice da remoto.

Esecuzione di codice remoto nel servizio di Message Queuing legacy

La falla si trova in un componente di Windows chiamato servizio Microsoft Message Queuing (MSMQ), che consente alle applicazioni di comunicare e garantire la consegna dei messaggi anche quando le reti e i sistemi sono temporaneamente offline. Questo servizio è presente in Windows fin da Windows NT e ha visto diverse versioni nel corso degli anni. Quando è attivo, il servizio accetta le comunicazioni sulla porta 1801 TCP.

Anche se MSMQ è generalmente considerato un servizio legacy superato da tecnologie di comunicazione più recenti, esiste ancora come componente opzionale in Windows 11 e nell’ultima versione di Windows Server. Inoltre, le applicazioni progettate per utilizzarlo lo abilitano al momento dell’installazione, cosa che potrebbe accadere senza che gli utenti o gli amministratori se ne rendano conto.

La documentazione di Microsoft fornisce esempi di casi d’uso di MSMQ, come i servizi finanziari mission-critical per il commercio elettronico, le applicazioni embedded e portatili come quelle utilizzate nei sistemi di smistamento bagagli negli aeroporti e le applicazioni di automazione delle vendite per i rappresentanti di vendita in viaggio. Vale la pena notare che questa documentazione è stata scritta nel 2016, quindi l’elenco delle applicazioni che lo utilizzano non è certamente esaustivo e aggiornato.

Infatti, secondo Haifei Li, ricercatore di Check Point, un’applicazione molto utilizzata dalle aziende come Microsoft Exchange Server abilita il servizio MSMQ durante il processo di installazione come impostazione predefinita. Negli ultimi anni i server Microsoft Exchange on-premise sono stati uno dei bersagli preferiti dagli aggressori, in particolare dai gruppi di cyber-spionaggio.

software

“Ora sappiamo che il vettore di attacco invia pacchetti alla porta di servizio 1801/tcp”, ha detto Li. “Per comprendere meglio il potenziale impatto di questo servizio nel mondo reale, Check Point Research ha effettuato una scansione completa di Internet. Sorprendentemente, abbiamo scoperto che più di 360.000 IP hanno la porta 1801/tcp aperta a Internet e stanno eseguendo il servizio MSMQ. Si noti che questo dato include solo il numero di host che si affacciano su Internet e non tiene conto dei computer che ospitano il servizio MSMQ su reti interne, dove il numero dovrebbe essere di gran lunga superiore”.

Check Point consiglia agli amministratori di verificare se il servizio Message Queuing è in esecuzione sui loro sistemi e se è possibile disabilitarlo senza impattare sulle applicazioni critiche. Se il servizio è necessario e la patch di Microsoft non può essere applicata immediatamente, le aziende dovrebbero bloccare l’accesso alla porta TCP 1801 da indirizzi IP non attendibili utilizzando un firewall. Si noti che questo non proteggerà il sistema dagli attacchi nel caso di una compromissione della rete locale e di un’attività di movimento laterale che permetta agli aggressori di compromettere uno dei sistemi affidabili presenti nella whitelist IP del firewall. Il movimento laterale è una tecnica comune impiegata dalla maggior parte dei gruppi APT e ransomware.

Altre vulnerabilità che richiedono attenzione immediata

Un’altra vulnerabilità per l’esecuzione di codice da remoto con un punteggio di gravità di 9,8, simile a quella di MSMQ è stata patchata nel componente Pragmatic General Multicast (PGM) di Windows. Questa falla è classificata come CVE-2023-28250 e dipende anch’essa dal fatto che MSMQ sia attivo e che il sistema accetti connessioni sulla porta TCP 1801. Tuttavia, Microsoft ritiene che lo sfruttamento di questa falla sia meno probabile.

La vulnerabilità zero-day patchata da Microsoft che, a quanto pare, è già stata utilizzata da una banda di ransomware chiamata Nokoyawa è classificata come CVE-2023-28252 e si trova nel driver del Common Log File System (CLFS) di Windows. Si tratta di una vulnerabilità di escalation dei privilegi con un punteggio di gravità pari a 7,8 che non può essere sfruttata da remoto ma può essere sfruttata localmente sul sistema per ottenere l’esecuzione di codice come SYSTEM. Microsoft ha patchato due vulnerabilità CLFS simili nell’ultimo anno, nel febbraio 2023 e nel settembre 2022.

“Ad aprile 2023 sono state patchate anche 45 vulnerabilità RCE (Remote Code Execution), un aumento significativo rispetto alla media di 33 al mese degli ultimi tre mesi” spiega Adam Barnett, lead software engineer della società di sicurezza Rapid7. “Microsoft considera critiche sette delle vulnerabilità RCE di questo mese, tra cui due vulnerabilità correlate con un punteggio base CVSSv3 di 9,8″.