Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

QUEUEJUMPER : encore une belle porte d’entrée sur les systèmes Windows

20 avril 2023 - 17:33,
Tribune - Charles Blanc-Rolin
   

Dans son « patch Tuesday » d’avril, Microsoft annonce la disponibilité d’un correctif pour la vulnérabilité CVE-2023-21554 [1], affectant MSMQ pour Microsoft Message Queuing, un protocole assez ancien et peu documenté, mais toujours disponible sur les dernières versions de Windows, aussi bien pour les systèmes serveurs que clients. La vulnérabilité est classée critique et risque encore de faire très mal. Même si le service de développement et d’infrastructure de messagerie MSMQ n’est pas activé par défaut, l’installation de certaines applications, comme le serveur de messagerie Exchange (pas vraiment étonnant) par exemple active ce protocole sans que les administrateurs ne le réalisent vraiment, comme le souligne un récent billet des équipes de recherche de CheckPoint [2].

Sans réelle surprise, comme avec le protocole SLP sur les serveurs VMWare ESXi, un nombre important de machines exposent directement ce service sur Internet [3].
D’après les derniers résultats d’Onyphe à l’heure où j’écris ces lignes, on s’approcherait gentiment des 500 000, avec 8 000 nouvelles machines recensées dans les 24 heures [4].

Le protocole est assez peu documenté et le détecter sur son réseau n’est pas forcément une chose aisée. Si Censys propose une solution à l’aide de netcat [5], ce fichier sonde [6] pour NMAP s’avère beaucoup plus performant et facile à utiliser. En analysant les réponses faites par différentes machines exécutant le protocole, j’ai également pu créer des règles de détection de réponses MSMQ pour Suricata, ajoutées à la collection de règles PAW Patrules [7]. Il est d’ailleurs possible de détecter grâce à un octet spécifique dans la réponse, si le service est exécuté sur un système client (Windows 10, Windows 7…) ou un système Windows Server. Une démonstration des règles de détection est disponible en vidéo [8].

Pour l’instant, je n’ai pas encore vu passer de code d’exploitation en source ouverte, mais même si Microsoft fait régulièrement du ménage sur Github, certains tentent avec insistance de faire la promotion d’outils d’exploitation qu’ils commercialisent.

La détermination de Microsoft à supprimer les comptes Github utilisés pour cette promotion laisserait-elle supposer que ces codes d’exploitation sont fonctionnels ?

Dans tous les cas, le risque de compromission semble imminent, en particulier pour les machines non patchées exposées sur Internet. Pour l’exploitation de la vulnérabilité sur les SI internes par des attaquants qui auraient déjà un pied dedans, ça ne devrait pas tarder non plus.

Il ne vous reste plus qu’à identifier vos machines concernées et appliquer le correctif de sécurité si ce n’est déjà fait. Retreindre l’accès à ce protocole aux machines en ayant réellement besoin semble également être une bonne idée… Nous ne sommes pas à l’abri de voir arriver de nouvelles vulnérabilités sur ce protocole prochainement.


[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554 

[2] https://research.checkpoint.com/2023/queuejumper-critical-unauthorized-rce-vulnerability-in-msmq-service/ 

[3] /article/5008/une-tempete-de-rancongiciels-s-abat-sur-les-serveurs-vmware.html 

[4] https://www.onyphe.io/search?q=category%253Adatascan+protocol%253Amsmq

[5] https://censys.io/cve-2023-21554/

[6] https://gist.github.com/goncalor/a01ba66927c0dc704000d7bf1327d36e#file-msmq-service-probe

[7] https://pawpatrules.fr/

[8] https://youtu.be/hiN7jPDDYqQ


L'auteur

Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Illustration Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

24 mars 2025 - 20:32,

Actualité

- DSIH,

Afin de garantir au plus grand nombre d’établissements de santé l’accès aux mises à jour financées par le Ségur numérique, le calendrier des dispositifs dédiés aux logiciels Dossier Patient Informatisé (DPI) et Plateforme d’Interopérabilité (PFI) a été étendu par un arrêté modificatif, publié ce jou...

Illustration Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC

Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC

10 mars 2025 - 19:33,

Tribune

-
Cédric Cartau

Vous n’avez pas pu le rater : sous couvert de lutte contre le trafic de stupéfiants, la proposition de loi d’Étienne Blanc et de Jérôme Durain, déjà adoptée à l’unanimité au Sénat, sera débattue au mois de mars à l’Assemblée nationale. Baptisée « loi Narcotrafic », elle vise à obliger les services d...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.