Mit dem Patch Tuesday von Microsoft wurde eine kritische Sicherheitslücke im Message Queuing Service behoben. Diese Lücke ermöglichte es einem Angreifer, Code ohne Authentifizierung auszuführen. Eine mögliche öffentliche Ausnutzung steht unmittelbar bevor. Es wird empfohlen, die Lücke schnell zu schließen oder eingehende Netzwerkverbindungen zu blockieren.

Sicherheitslücke im MSMQ Service

Im Rahmen des gestrigen Microsoft Patch Tuesday wurde eine kritische Sicherheitslücke im “Microsoft Message Queuing” Service behoben. Diese Sicherheitslücke erlaubt es einem Angreifer, Code auszuführen, ohne sich auf dem Zielsystem authentifizieren zu müssen.

Derzeit gibt es keinen öffentlich zugänglichen Exploit-Code, aber das wird sich in den nächsten Tagen schnell ändern. Das ist die Meinung von Microsoft und auch von den Sicherheitsforschern, die den Fehler gefunden haben.

Da dieses Windows Feature auch im Zusammenhang mit anderen Softwareprodukten (z. B. Exchange, SQL Server SSPI) installiert wird, sind möglicherweise mehr Systeme betroffen als vermutet. Schnelle Hilfe bietet der Microsoft-Patch oder, als Workaround, das Blockieren eingehender Netzwerkverbindungen zu TCP/1801.

Mit der folgenden Advanced Hunting Query können Sie Ihre eigene Umgebung nach verwundbaren Systemen durchsuchen.

DeviceNetworkEvents
| where Timestamp > ago(30d)
| where ActionType == "ListeningConnectionCreated"
| where LocalPort == "1801"
| where InitiatingProcessVersionInfoOriginalFileName has "MQSVC"
| summarize by DeviceName

Alternativ, falls der Netzwerkport geändert wurde, lautet die Abfrage:

DeviceProcessEvents
| where Timestamp > ago(30d)
| where ProcessVersionInfoOriginalFileName has "MQSVC"
| summarize by DeviceName

Quellen: