Si le dernier Patch Tuesday s’est focalisé sur la correction d’un faille zero-day exploitée par des gangs de ransomware, une autre vulnérabilité mérite une attention particulière. Baptisée QueueJumper, la CVE-2023-21554, qui a été découverte par des chercheurs de Check Point Software, est évaluée à 9,8 sur 10 sur l'échelle de gravité CVSS. L'avis de Microsoft indique que la complexité de l'attaque est faible et que l'évaluation de l'exploitabilité est plus probable. Son impact est l'exécution de code à distance.

Exécution de code à distance dans l'ancien service Message Queuing

La brèche se trouve dans un composant de Windows appelé service Microsoft Message Queuing (MSMQ), qui permet aux applications de communiquer et d'assurer la livraison des messages même quand les réseaux et les systèmes sont temporairement hors ligne, en conservant les messages dans une file d'attente. Au fil du temps, ce service, présent dans Windows depuis Windows NT, a connu plusieurs versions. Quand il est actif, le service accepte les communications sur le port 1801 TCP. Même si MSMQ est généralement considéré comme un service ancien qui a été remplacé par des technologies de communication plus récentes, il existe toujours en tant que composant optionnel dans Windows 11 et dans la dernière version de Windows Server. De plus, les applications conçues pour l'utiliser l'activeront au moment de l'installation, à l’insu des utilisateurs ou des administrateurs. La documentation de Microsoft donne des exemples de cas d’usage de MSMQ par les services financiers critiques pour le commerce électronique, par les applications embarquées et mobiles comme celles utilisées dans les systèmes d'acheminement des bagages dans les aéroports, et par les applications d'automatisation des ventes pour les représentants commerciaux itinérants. Mais, cette documentation ayant été rédigée en 2016, il y a peu de chance que la liste d’applications soit à jour et exhaustive.

En fait, selon Haifei Li, chercheur chez Check Point, l’application Microsoft Exchange Server, largement utilisée par les entreprises, active le service MSMQ au cours du processus d'installation avec des paramètres par défaut. Ces dernières années, les serveurs Exchange sur site ont été la cible privilégiée des attaquants, en particulier des groupes de cyber-espions. « Nous savons maintenant que le vecteur d'attaque envoie des paquets au port de service 1801/tcp », a déclaré l’expert. « Afin de mieux comprendre l'impact potentiel de ce service dans le monde réel, Check Point Research a effectué un balayage complet de l'Internet. De manière surprenante, nous avons découvert que plus de 360 000 adresses IP avaient une adresse 1801/tcp ouverte sur lnternet et exécutaient le service MSMQ », a-t-il ajouté. Ce dernier précise aussi que ce chiffre n'inclut que le nombre d'hôtes en frontal de l’Internet et ne tient pas compte des ordinateurs hébergeant le service MSMQ sur des réseaux internes, où le nombre devrait être beaucoup plus élevé. Check Point recommande aux administrateurs de déterminer si le service Message Queuing fonctionne sur leurs systèmes et s'ils peuvent le désactiver sans affecter les applications critiques. Si le service est nécessaire et que le correctif de Microsoft ne peut pas être appliqué immédiatement, les entreprises devraient bloquer l'accès au port TCP 1801 à partir d'adresses IP non fiables à l'aide d'un pare-feu. Haifei Li pense néanmoins que cela ne protégera pas le système contre les attaques en cas d’intrusion dans le réseau local et d'un mouvement latéral qui permet aux attaquants de compromettre l'un des systèmes de confiance figurant sur la liste blanche des adresses IP du pare-feu. Le déplacement latéral est une technique courante employée par la plupart des gangs APT et de ransomware.

D’autres vulnérabilités critiques de Windows à surveiller

Une autre vulnérabilité d'exécution de code à distance avec un score de gravité de 9,8, similaire à celle de MSMQ, a été corrigée dans le composant Pragmatic General Multicast (PGM) de Windows. Cette faille est répertoriée sous la référence CVE-2023-28250 et dépend également de l'activation de MSMQ et de l'acceptation par le système de connexions sur le port TCP 1801. Cependant, Microsoft considère que l'exploitation de cette faille, répertoriée sous la référence CVE-2023-28252, est moins probable. La vulnérabilité zero-day corrigée par Microsoft, qui aurait déjà été utilisée par un gang de ransomware appelé Nokoyawa, se trouve dans le pilote Windows Common Log File System (CLFS).

Affectée d’un score de gravité de 7,8, cette vulnérabilité d'escalade de privilèges ne peut pas être exploitée à distance, mais pourrait être exploitée localement sur le système pour obtenir l'exécution de code en tant que SYSTEM. Microsoft a corrigé deux vulnérabilités CLFS similaires en février 2023 et en septembre 2022. « En avril 2023, 45 vulnérabilités distinctes d'exécution de code à distance (Remote Code Execution, RCE) ont été corrigées, ce qui représente une augmentation significative par rapport à la moyenne de 33 par mois au cours des trois derniers mois », a expliqué par courriel Adam Barnett, ingénieur logiciel en chef de l’entreprise de sécurité Rapid7. Ce mois-ci, dept des vulnérabilités RCE ont été qualifiées de critiques par Microsoft, y compris deux vulnérabilités connexes avec un score CVSSv3 de 9,8.