Спецпроекты

Безопасность Стратегия безопасности

Система обнаружения вторжений UserGate выявляет попытку эксплуатации уязвимости QueueJumper в сервисе Message Queuing для Windows

Центр мониторинга и реагирования UserGate добавил в систему обнаружения вторжений UserGate (IDPS) новую сигнатуру, позволяющую детектировать попытку эксплуатации уязвимости CVE-2023-21554 QueueJumper в сервисе Message Queuing в ОС Windows.

Microsoft Message Queuing (MSMQ) — это технология для асинхронной коммуникации между приложениями. По умолчанию сервис не установлен. MSMQ применяется при разработке приложений, которые работают в разнородных сетях или автономно. MSMQ широко используется как компонент middleware в enterprise-приложениях и полностью интегрирован в Microsoft .NET Framework. Уязвимость может быть использована как для первичного проникновения в сеть, так и для горизонтального перемещения.

Рейтинг согласно CVSSv3.1 — 9.8. Уязвимости присвоен идентификатор CVE-2023-21554.

Подверженные версии: Windows 10 for 32-bit Systems; Windows 10 for x64-based Systems; Windows 10 Version 1607 for 32-bit Systems; Windows 10 Version 1607 for x64-based Systems; Windows 10 Version 1809 for 32-bit Systems; Windows 10 Version 1809 for ARM64-based Systems; Windows 10 Version 1809 for x64-based Systems; Windows 10 Version 20H2 for 32-bit System; Windows 10 Version 20H2 for x64-based Systems; Windows 10 Version 21H2 for 32-bit Systems; Windows 10 Version 21H2 for ARM64-based Systems; Windows 10 Version 21H2 for x64-based Systems; Windows 10 Version 22H2 for 32-bit Systems; Windows 10 Version 22H2 for ARM64-based Systems; Windows 10 Version 22H2 for x64-based Systems; Windows 11 version 21H2 for ARM64-based Systems; Windows 11 version 21H2 for x64-based Systems; Windows 11 Version 22H2 for ARM64-based Systems; Windows 11 Version 22H2 for x64-based Systems; Windows Server 2008 for 32-bit Systems Service Pack 2; Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation); Windows Server 2008 for x64-based Systems Service Pack 2; Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation); Windows Server 2008 R2 for x64-based Systems Service Pack 1; Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation); Windows Server 2012; Windows Server 2012 (Server Core installation); Windows Server 2012 R2; Windows Server 2012 R2 (Server Core installation); Windows Server 2016; Windows Server 2016 (Server Core installation); Windows Server 2019; Windows Server 2019 (Server Core installation); Windows Server 2022; Windows Server 2022 (Server Core installation).

Рекомендации по защите: Установить последние обновления с сайта производителя ОС; провести аудит информационных систем на предмет ПО, использующего данный сервис (processes.name = “mqsvc.exe”, cmd.exe /c sc query mqsvc). На серверах во внутренней сети, где используется сервис, необходимо усилить мониторинг событий до установки патчей. Убедиться, что TCP порт 1801 не доступен из внешней сети (например, c помощью сканирования “nmap -Pn -p 1801 --open -n -vvv 192.168.0.0/24”); проверить актуальность подписки на модуль Security Updates. При использовании профиля сигнатур UserGate все новые сигнатуры начинают работать автоматически; создать правило СОВ с новой сигнатурой «Windows QueueJumper RCE», если используется собственный профиль сигнатур.

Короткая ссылка