Publicité en cours de chargement...
QUEUEJUMPER : encore une belle porte d’entrée sur les systèmes Windows
Dans son « patch Tuesday » d’avril, Microsoft annonce la disponibilité d’un correctif pour la vulnérabilité CVE-2023-21554 [1], affectant MSMQ pour Microsoft Message Queuing, un protocole assez ancien et peu documenté, mais toujours disponible sur les dernières versions de Windows, aussi bien pour les systèmes serveurs que clients. La vulnérabilité est classée critique et risque encore de faire très mal. Même si le service de développement et d’infrastructure de messagerie MSMQ n’est pas activé par défaut, l’installation de certaines applications, comme le serveur de messagerie Exchange (pas vraiment étonnant) par exemple active ce protocole sans que les administrateurs ne le réalisent vraiment, comme le souligne un récent billet des équipes de recherche de CheckPoint [2].
Sans réelle surprise, comme avec le protocole SLP sur les serveurs VMWare ESXi, un nombre important de machines exposent directement ce service sur Internet [3].
D’après les derniers résultats d’Onyphe à l’heure où j’écris ces lignes, on s’approcherait gentiment des 500 000, avec 8 000 nouvelles machines recensées dans les 24 heures [4].
Le protocole est assez peu documenté et le détecter sur son réseau n’est pas forcément une chose aisée. Si Censys propose une solution à l’aide de netcat [5], ce fichier sonde [6] pour NMAP s’avère beaucoup plus performant et facile à utiliser. En analysant les réponses faites par différentes machines exécutant le protocole, j’ai également pu créer des règles de détection de réponses MSMQ pour Suricata, ajoutées à la collection de règles PAW Patrules [7]. Il est d’ailleurs possible de détecter grâce à un octet spécifique dans la réponse, si le service est exécuté sur un système client (Windows 10, Windows 7…) ou un système Windows Server. Une démonstration des règles de détection est disponible en vidéo [8].
Pour l’instant, je n’ai pas encore vu passer de code d’exploitation en source ouverte, mais même si Microsoft fait régulièrement du ménage sur Github, certains tentent avec insistance de faire la promotion d’outils d’exploitation qu’ils commercialisent.
La détermination de Microsoft à supprimer les comptes Github utilisés pour cette promotion laisserait-elle supposer que ces codes d’exploitation sont fonctionnels ?
Dans tous les cas, le risque de compromission semble imminent, en particulier pour les machines non patchées exposées sur Internet. Pour l’exploitation de la vulnérabilité sur les SI internes par des attaquants qui auraient déjà un pied dedans, ça ne devrait pas tarder non plus.
Il ne vous reste plus qu’à identifier vos machines concernées et appliquer le correctif de sécurité si ce n’est déjà fait. Retreindre l’accès à ce protocole aux machines en ayant réellement besoin semble également être une bonne idée… Nous ne sommes pas à l’abri de voir arriver de nouvelles vulnérabilités sur ce protocole prochainement.
[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554
[3] /article/5008/une-tempete-de-rancongiciels-s-abat-sur-les-serveurs-vmware.html
[4] https://www.onyphe.io/search?q=category%253Adatascan+protocol%253Amsmq
[5] https://censys.io/cve-2023-21554/
[6] https://gist.github.com/goncalor/a01ba66927c0dc704000d7bf1327d36e#file-msmq-service-probe
[8] https://youtu.be/hiN7jPDDYqQ
L'auteur
Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)
Avez-vous apprécié ce contenu ?
A lire également.

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)
29 juil. 2025 - 11:09,
Actualité
-Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...