Eine Sicherheitslücke im Microsoft Message Queuing Service (MSMQ) mit Kritikalität 9,8 erlaubt es Angreifern, mittels nur eines manipulierten Datenpakets die Kontrolle über einen Server zu übernehmen. Die Komponente ist auch Bestandteil von Microsoft Exchange. Microsoft hat die Lücke am Patch Tuesday geschlossen. Fachleute raten, den Patch schnellstmöglich zu installieren.
Die Schwachstelle CVE-2023-21554 in MSMQ, genannt „Queue Jumper“, ermöglicht es nicht authentifizierten Angreifern, aus der Ferne Code auf ungepatchten Windows-Servern auszuführen (Remote Code Execution, RCE). Dazu müssen sie nur ein speziell manipuliertes, bösartiges MSMQ-Pakete verwenden. Der Angriff ist somit relativ einfach und erfordert keine Benutzerinteraktion, daher die Einstufung als „kritisch“ (Kritikalität 9,8 von zehn).
MSMQ ist in Windows als optionale Komponente verfügbar, um Anwendungen eine garantierte Nachrichtenzustellung zu ermöglichen. Sie lässt sich per Systemsteuerung oder PowerShell aktivieren und deaktivieren. Die Liste betroffener Windows-Versionen umfasst alle derzeit unterstützten bis hin zu den neuesten.
Microsoft dankt auf seiner Website den Sicherheitsforschern Wayne Low von Fortinets FortiGuard Lab und Haifei Li von Check Point Research für das Melden der Schwachstelle.
„Wer bisher die April-Patches von Microsoft nicht installiert hat, sollte dies schnellstmöglich tun“, rät Tim Berghoff, Security Evangelist bei der G Data CyberDefense aus Bochum. „Bis zur Installation eines Patches sollten Unternehmen auf jeden Fall prüfen, ob Port 1801/tcp auf Systemen erreichbar ist.“ Wer den MSMQ-Dienst nicht benötigt, solle ihn umgehend deaktivieren, so der Fachmann. Betreiber von zum Internet hin offenen Exchange-Servern sollten laut dem Experten besonders genau hinschauen, denn beim Aufsetzen eines Exchange-Servers werde MSMQ automatisch mitinstalliert.
Microsofts Security Advisory zur Schwachstelle findet sich hier.