CVE-2024-30080: نفوذگران کنترل سیستم را با آسیب‌پذیری MSMQ به دست می‌آورند!

به تازگی یک آسیب‌پذیری RCE حیاتی با شناسه CVE-2024-30080 و امتیاز 9.8 در (MSMQ) Microsoft Message Queuing کشف شده است که امکان اجرای کد دلخواه و دسترسی SYSTEM را در نسخه‌های آسیب‌ دیده ویندوز سرور و ویندوز 10 فراهم می‌سازد.

شدیدترین نقص امنیتی که در به روزرسانی‌های ماه ژوئن توسط Microsoft برطرف شده است، آسیب‌پذیری حیاتی اجرای کد از راه دور (RCE) و ضعف Use After Free در سرویس Microsoft Message Queuing (MSMQ) است که با شناسه CVE-2024-30080 و امتیاز 9.8 ردیابی می‌شود.

Message Queuing (MSMQ)

فناوری صف پیام یا (MSMQ) Microsoft Message Queuing توسط مایکروسافت در سیستم عامل ویندوز توسعه یافته است. MSMQ نوعی ارتباط سرویس به سرویس ناهمزمان است که اپلیکیشن‌هایی را که در زمان‌های مختلف اجرا می‌شوند، قادر می‌سازد تا بین شبکه‌ها و سیستم‌های غیر هم‌زمان (ناهمگن) که ممکن است موقتاً آفلاین باشند، ارتباط برقرار کنند.

اپلیکیشن‌ها پیام‌ها را به صف می‌فرستند و پیام‌ها را از صف می‌خوانند. در واقع Message Queuing یا صف پیام، تحویل تضمین شده پیام، مسیریابی کارآمد، امنیت و پیام‌رسانی مبتنی بر اولویت را فراهم می‌کند. MSMQ در موارد زیر اعمال شده است:

Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server Technical Preview, Windows Vista

تأثیر

بنابر گفته مایکروسافت: نقص امنیتی CVE-2024-30080 به مهاجم احراز هویت نشده از راه دور اجازه می‌دهد که با ارسال پیام ساختگی ویژه به سرویس MSMQ، اقدام به اجرای کد دلخواه روی سیستم هدف و به دست آوردن دسترسی SYSTEM کند. این امر می‌تواند امکان نصب برنامه‌ها، مشاهده، تغییر و یا حذف داده‌ها،‌ همچنین ایجاد حساب‌های کاربری جدید با سطح دسترسی کامل و در نهایت کنترل سیستم را برای نفوذگران به همراه داشته باشد.

محصولات تحت تأثیر

این آسیب‌پذیری به طور کلی سرویس MSMQ را تحت تاثیر قرار می‌دهد.

اکسپلویت

نفوذگران به منظور سوء استفاده از این آسیب‌پذیری، باید مجموعه‌ای از پَکت‌های MSMQ ساخته شده ویژه را در یک توالی‌ سریع (rapid sequence) از طریق HTTP به سرور MSMQ ارسال کنند که می‌تواند منجر به اجرای کد از راه دور در سمت سرور شود. گفتنی است که تاکنون هیچ مدرکی دال بر وجود POC عمومی و اکسپلویت وجود ندارد.

وصله آسیب‌پذیری

چنانچه ذکر شد، مایکروسافت به روزرسانی‌های امنیتی را جهت رفع این آسیب‌پذیری منتشر کرده است. به تمامی کاربران توصیه می‌شود که اصلاحیه‌های امنیتی مایکروسافت مربوط به ماه ژوئن را در اسرع وقت اعمال کنند.

اقدامات کاهشی

🟣 به کاربران پادویش توصیه می‌شود که دسترسی به پورت 1801 را با استفاده از مولفه دیوار آتش آنتی‌ویروس پادویش ‫محدود کنند.

🔴 فعال بودن سرویس MSMQ ویندوز که یکی از اجزا یا مولفه‌های ویندوز است، یک سیستم را در برابر آسیب‌پذیری مذکور قابل بهره‌برداری می‌کند. این ویژگی را می‌توان از طریق Control Panel اضافه کرد.

جهت تشخیص آسیب‌پذیر بودن سیستم خود، بررسی کنید که آیا ویژگی MSMQ HTTP-Support فعال است یا خیر و آیا سرویسی به نام Message Queuing در دستگاه در حال اجرا است یا خیر؟!

📌 فعال یا غیرفعال‌سازی ‫گزینه MSMQ از مسیر زیر صورت می‌گیرد:

  Control Panel ➡️ Programs ➡️ Programs and Features ➡️ turn windows features on or off ➡️ Microsoft Message Queue (MSMQ) server

enable Message Queuing -MSMQ

 موارد زیر شدت بهره‌برداری از آسیب‌پذیری را کاهش می‌دهد:

✅ در صورت نیاز، سرویس MSMQ را فقط به شبکه‌های مورد اعتماد محدود نمایید.

✅ علاوه بر این، به منظور محدودسازی دسترسی به پورت‌های مرتبط با سرویس‌های MSMQ، فایروال‌ها را فعال کنید.