QueueJumper-Lücke gefährdet hunderttausende Windows-Systeme
Sicherheitsforscher haben nach weltweiten Scans über 400.000 potenziell angreifbare Windows-Systeme entdeckt. Sicherheitspatches sind verfügbar.
Windows-Admins sollten sich zügig um eine „kritische“ Sicherheitslücke im Microsoft Message Queuing Service (MSMQ) in Windows und Windows Server kümmern. Sind Attacken erfolgreich, könnten Angreifer Schadcode ausführen und Systeme vollständig kompromittieren.
Die Lücke
Die Sicherheitslücke (CVE-2023-21554) wurde am Patchday im April geschlossen. Als Voraussetzung für Attacken muss der MSMQ-Server aktiv sein, was standardmäßig nicht der Fall ist. Im Zuge von Exchange-Installationen wird der Service aber häufig aktiviert, sodass man die Lücke nicht unterschätzen sollte. Um zu prüfen, ob Systeme verwundbar sind, sollten Admins prüfen, ob der „Message Queuing“-Service läuft und auf dem TCP-Port 1801 lauscht. Davon sind einer Warnmeldung von Microsoft zufolge unter anderem Windows 10, 11 und viele Windows-Server-Versionen wie 20H2 betroffen.
Message Queuing ist eine Nachrichteninfrastruktur und eine Entwicklungsplattform. Darüber können Message-Queuing-Anwendungen etwa mit PCs, die möglicherweise offline sind, kommunizieren. Der Service soll eine Nachrichtenzustellung garantieren.
Sicherheitsforscher von Checkpoint sind auf die Schwachstelle gestoßen. Ihnen zufolge müssten Angreifer ihren Exploit-Code lediglich an den TCP-Port 1801 von MSMQ-Servern schicken, um eine Attacke auszulösen.
Jetzt patchen!
Scans von Shadowsever zufolge ist der MSMQ-Service weltweit bei über 400.000 Windows-Systemen öffentlich erreichbar. Sind diese Systeme noch nicht gepatcht, könnten Angreifer zuschlagen. Der Großteil davon findet sich mit 160.000 Instanzen in Hongkong. In den USA sind es rund 57.000. In Deutschland sind knapp 8000 Systeme öffentlich erreichbar.
Quelle: heise.de