Publicité en cours de chargement...

Publicité en cours de chargement...

QUEUEJUMPER : encore une belle porte d’entrée sur les systèmes Windows

20 avril 2023 - 17:33,
Tribune - Charles Blanc-Rolin
   

Dans son « patch Tuesday » d’avril, Microsoft annonce la disponibilité d’un correctif pour la vulnérabilité CVE-2023-21554 [1], affectant MSMQ pour Microsoft Message Queuing, un protocole assez ancien et peu documenté, mais toujours disponible sur les dernières versions de Windows, aussi bien pour les systèmes serveurs que clients. La vulnérabilité est classée critique et risque encore de faire très mal. Même si le service de développement et d’infrastructure de messagerie MSMQ n’est pas activé par défaut, l’installation de certaines applications, comme le serveur de messagerie Exchange (pas vraiment étonnant) par exemple active ce protocole sans que les administrateurs ne le réalisent vraiment, comme le souligne un récent billet des équipes de recherche de CheckPoint [2].

Sans réelle surprise, comme avec le protocole SLP sur les serveurs VMWare ESXi, un nombre important de machines exposent directement ce service sur Internet [3].
D’après les derniers résultats d’Onyphe à l’heure où j’écris ces lignes, on s’approcherait gentiment des 500 000, avec 8 000 nouvelles machines recensées dans les 24 heures [4].

Le protocole est assez peu documenté et le détecter sur son réseau n’est pas forcément une chose aisée. Si Censys propose une solution à l’aide de netcat [5], ce fichier sonde [6] pour NMAP s’avère beaucoup plus performant et facile à utiliser. En analysant les réponses faites par différentes machines exécutant le protocole, j’ai également pu créer des règles de détection de réponses MSMQ pour Suricata, ajoutées à la collection de règles PAW Patrules [7]. Il est d’ailleurs possible de détecter grâce à un octet spécifique dans la réponse, si le service est exécuté sur un système client (Windows 10, Windows 7…) ou un système Windows Server. Une démonstration des règles de détection est disponible en vidéo [8].

Pour l’instant, je n’ai pas encore vu passer de code d’exploitation en source ouverte, mais même si Microsoft fait régulièrement du ménage sur Github, certains tentent avec insistance de faire la promotion d’outils d’exploitation qu’ils commercialisent.

La détermination de Microsoft à supprimer les comptes Github utilisés pour cette promotion laisserait-elle supposer que ces codes d’exploitation sont fonctionnels ?

Dans tous les cas, le risque de compromission semble imminent, en particulier pour les machines non patchées exposées sur Internet. Pour l’exploitation de la vulnérabilité sur les SI internes par des attaquants qui auraient déjà un pied dedans, ça ne devrait pas tarder non plus.

Il ne vous reste plus qu’à identifier vos machines concernées et appliquer le correctif de sécurité si ce n’est déjà fait. Retreindre l’accès à ce protocole aux machines en ayant réellement besoin semble également être une bonne idée… Nous ne sommes pas à l’abri de voir arriver de nouvelles vulnérabilités sur ce protocole prochainement.


[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554 

[2] https://research.checkpoint.com/2023/queuejumper-critical-unauthorized-rce-vulnerability-in-msmq-service/ 

[3] /article/5008/une-tempete-de-rancongiciels-s-abat-sur-les-serveurs-vmware.html 

[4] https://www.onyphe.io/search?q=category%253Adatascan+protocol%253Amsmq

[5] https://censys.io/cve-2023-21554/

[6] https://gist.github.com/goncalor/a01ba66927c0dc704000d7bf1327d36e#file-msmq-service-probe

[7] https://pawpatrules.fr/

[8] https://youtu.be/hiN7jPDDYqQ


L'auteur

Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

29 juil. 2025 - 11:09,

Actualité

-
Marguerite Brac de La Perrière

Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.