Publicité en cours de chargement...
QUEUEJUMPER : encore une belle porte d’entrée sur les systèmes Windows
Dans son « patch Tuesday » d’avril, Microsoft annonce la disponibilité d’un correctif pour la vulnérabilité CVE-2023-21554 [1], affectant MSMQ pour Microsoft Message Queuing, un protocole assez ancien et peu documenté, mais toujours disponible sur les dernières versions de Windows, aussi bien pour les systèmes serveurs que clients. La vulnérabilité est classée critique et risque encore de faire très mal. Même si le service de développement et d’infrastructure de messagerie MSMQ n’est pas activé par défaut, l’installation de certaines applications, comme le serveur de messagerie Exchange (pas vraiment étonnant) par exemple active ce protocole sans que les administrateurs ne le réalisent vraiment, comme le souligne un récent billet des équipes de recherche de CheckPoint [2].
Sans réelle surprise, comme avec le protocole SLP sur les serveurs VMWare ESXi, un nombre important de machines exposent directement ce service sur Internet [3].
D’après les derniers résultats d’Onyphe à l’heure où j’écris ces lignes, on s’approcherait gentiment des 500 000, avec 8 000 nouvelles machines recensées dans les 24 heures [4].
Le protocole est assez peu documenté et le détecter sur son réseau n’est pas forcément une chose aisée. Si Censys propose une solution à l’aide de netcat [5], ce fichier sonde [6] pour NMAP s’avère beaucoup plus performant et facile à utiliser. En analysant les réponses faites par différentes machines exécutant le protocole, j’ai également pu créer des règles de détection de réponses MSMQ pour Suricata, ajoutées à la collection de règles PAW Patrules [7]. Il est d’ailleurs possible de détecter grâce à un octet spécifique dans la réponse, si le service est exécuté sur un système client (Windows 10, Windows 7…) ou un système Windows Server. Une démonstration des règles de détection est disponible en vidéo [8].
Pour l’instant, je n’ai pas encore vu passer de code d’exploitation en source ouverte, mais même si Microsoft fait régulièrement du ménage sur Github, certains tentent avec insistance de faire la promotion d’outils d’exploitation qu’ils commercialisent.
La détermination de Microsoft à supprimer les comptes Github utilisés pour cette promotion laisserait-elle supposer que ces codes d’exploitation sont fonctionnels ?
Dans tous les cas, le risque de compromission semble imminent, en particulier pour les machines non patchées exposées sur Internet. Pour l’exploitation de la vulnérabilité sur les SI internes par des attaquants qui auraient déjà un pied dedans, ça ne devrait pas tarder non plus.
Il ne vous reste plus qu’à identifier vos machines concernées et appliquer le correctif de sécurité si ce n’est déjà fait. Retreindre l’accès à ce protocole aux machines en ayant réellement besoin semble également être une bonne idée… Nous ne sommes pas à l’abri de voir arriver de nouvelles vulnérabilités sur ce protocole prochainement.
[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554
[3] /article/5008/une-tempete-de-rancongiciels-s-abat-sur-les-serveurs-vmware.html
[4] https://www.onyphe.io/search?q=category%253Adatascan+protocol%253Amsmq
[5] https://censys.io/cve-2023-21554/
[6] https://gist.github.com/goncalor/a01ba66927c0dc704000d7bf1327d36e#file-msmq-service-probe
[8] https://youtu.be/hiN7jPDDYqQ
L'auteur
Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...