QUEUEJUMPER : encore une belle porte d’entrée sur les systèmes Windows

Dans son « patch Tuesday » d’avril, Microsoft annonce la disponibilité d’un correctif pour la vulnérabilité CVE-2023-21554 [1], affectant MSMQ pour Microsoft Message Queuing, un protocole assez ancien et peu documenté, mais toujours disponible sur les dernières versions de Windows, aussi bien pour les systèmes serveurs que clients. La vulnérabilité est classée critique et risque encore de faire très mal. Même si le service de développement et d’infrastructure de messagerie MSMQ n’est pas activé par défaut, l’installation de certaines applications, comme le serveur de messagerie Exchange (pas vraiment étonnant) par exemple active ce protocole sans que les administrateurs ne le réalisent vraiment, comme le souligne un récent billet des équipes de recherche de CheckPoint [2].

Sans réelle surprise, comme avec le protocole SLP sur les serveurs VMWare ESXi, un nombre important de machines exposent directement ce service sur Internet [3].
D’après les derniers résultats d’Onyphe à l’heure où j’écris ces lignes, on s’approcherait gentiment des 500 000, avec 8 000 nouvelles machines recensées dans les 24 heures [4].

Le protocole est assez peu documenté et le détecter sur son réseau n’est pas forcément une chose aisée. Si Censys propose une solution à l’aide de netcat [5], ce fichier sonde [6] pour NMAP s’avère beaucoup plus performant et facile à utiliser. En analysant les réponses faites par différentes machines exécutant le protocole, j’ai également pu créer des règles de détection de réponses MSMQ pour Suricata, ajoutées à la collection de règles PAW Patrules [7]. Il est d’ailleurs possible de détecter grâce à un octet spécifique dans la réponse, si le service est exécuté sur un système client (Windows 10, Windows 7…) ou un système Windows Server. Une démonstration des règles de détection est disponible en vidéo [8].

Pour l’instant, je n’ai pas encore vu passer de code d’exploitation en source ouverte, mais même si Microsoft fait régulièrement du ménage sur Github, certains tentent avec insistance de faire la promotion d’outils d’exploitation qu’ils commercialisent.

La détermination de Microsoft à supprimer les comptes Github utilisés pour cette promotion laisserait-elle supposer que ces codes d’exploitation sont fonctionnels ?

Dans tous les cas, le risque de compromission semble imminent, en particulier pour les machines non patchées exposées sur Internet. Pour l’exploitation de la vulnérabilité sur les SI internes par des attaquants qui auraient déjà un pied dedans, ça ne devrait pas tarder non plus.

Il ne vous reste plus qu’à identifier vos machines concernées et appliquer le correctif de sécurité si ce n’est déjà fait. Retreindre l’accès à ce protocole aux machines en ayant réellement besoin semble également être une bonne idée… Nous ne sommes pas à l’abri de voir arriver de nouvelles vulnérabilités sur ce protocole prochainement.

---

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554 

[2] https://research.checkpoint.com/2023/queuejumper-critical-unauthorized-rce-vulnerability-in-msmq-service/ 

[3] /article/5008/une-tempete-de-rancongiciels-s-abat-sur-les-serveurs-vmware.html 

[4] https://www.onyphe.io/search?q=category%253Adatascan+protocol%253Amsmq

[5] https://censys.io/cve-2023-21554/

[6] https://gist.github.com/goncalor/a01ba66927c0dc704000d7bf1327d36e#file-msmq-service-probe

[7] https://pawpatrules.fr/

[8] https://youtu.be/hiN7jPDDYqQ

---

L'auteur

Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)