Bug crítico do MSMQ RCE abre servidores Microsoft

Bug crítico do MSMQ RCE abre servidores Microsoft. CVE-2024-30080 é o único problema crítico na atualização Patch Tuesday de junho de 2024 da Microsoft, mas muitos outros também requerem atenção imediata.

A Microsoft emitiu correções para um total de 49 vulnerabilidades em sua atualização de segurança Patch Tuesday de junho, incluindo um bug crítico na tecnologia Microsoft Message Queuing (MSMQ) que pode abrir vastas áreas de empresas à execução remota de código (RCE) e aquisição de servidores.

O problema ( CVE-2024-30080 , pontuação CVSS de 9,8 em 10) é explorável remotamente, com baixa complexidade de ataque, não requer privilégios e não requer interação do usuário; e traz grandes impactos na confidencialidade, integridade e disponibilidade, de acordo com a Microsoft. Os invasores podem usá-lo para assumir completamente o controle de um servidor afetado, enviando um pacote MSMQ malicioso especialmente criado. Para verificar a vulnerabilidade, os usuários devem confirmar se o serviço ‘Message Queuing’ está em execução e se a porta TCP 1801 está aberta no sistema. O bug afeta todas as versões do Windows a partir do Windows Server 2008 e do Windows 10.

Seu impacto pode ser sentido no cenário de ameaças mais cedo ou mais tarde, portanto, corrigir rapidamente é uma obrigação: “Algumas pesquisas rápidas no Shodan revelam mais de um milhão de hosts rodando com a porta 1801 aberta e mais de 3.500 resultados para ‘msmq'”, disse Tyler Reguly, diretor associado de P&D de segurança da Fortra, em comunicado enviado por e-mail. “Dado que se trata de uma execução remota de código, espero ver esta vulnerabilidade incluída em estruturas de exploração em um futuro próximo.”

Este é o único bug que a Microsoft classificou como crítico este mês, mas há vários outros na atualização que também merecem atenção imediata, segundo analistas de segurança.

Bugs de alta prioridade da Microsoft para junho de 2024

Entre os bugs de alta prioridade a serem colocados no topo da lista de patches estão: CVE-2024-30103 , uma vulnerabilidade de execução remota de código (RCE) no Microsoft Outlook em que o Painel de Visualização é um vetor de ataque; CVE-2024-30089 , uma vulnerabilidade no Microsoft Streaming Services que oferece aos invasores uma maneira de obter acesso no nível do sistema; CVE-2024-30085 , um bug de escalonamento de privilégios no Windows Cloud Files Mini Filter Driver que a Microsoft identificou como mais provável de ser explorado; e CVE-2024-30099 , uma vulnerabilidade de elevação de privilégio (EoP) no driver do kernel do Windows que os invasores podem abusar para assumir o controle de um sistema afetado.

Ao todo, a Microsoft categorizou 11 das 49 vulnerabilidades na atualização deste mês como falhas que os agentes de ameaças eram mais propensos a explorar devido a fatores como a baixa complexidade do ataque e o fato de que os adversários não precisam de privilégios especiais ou interação do usuário para tirar vantagem deles.

Bugs RCE para priorizar

A coleção de bugs RCE dignos de nota deste mês inclui CVE-2024-30101 , um bug de uso após liberação no Microsoft Office que requer interação ativa do usuário para que um ataque seja bem-sucedido; CVE-2024-30104 no Microsoft Office; e o CVE-2024-30103 mencionado anteriormente no Microsoft Outlook, que um invasor pode acionar por meio do painel de visualização em um e-mail.

Este último é potencialmente especialmente perigoso porque um invasor pode usá-lo para ignorar as listas de bloqueio do registro do Outlook e permitir a criação de arquivos DLL maliciosos.

“Esta vulnerabilidade do Microsoft Outlook pode ser divulgada de usuário para usuário e não requer um clique para ser executada”, disseram pesquisadores da Morphisec em um blog . “Em vez disso, a execução começa quando um e-mail afetado é aberto. Isso é particularmente perigoso para contas que usam o recurso de abertura automática de e-mail do Microsoft Outlook.”

A própria Microsoft avaliou a falha como algo que os invasores têm menos probabilidade de explorar.

Alto número de bugs de elevação de privilégio

De forma um tanto incomum, desta vez houve mais falhas de EoP do que bugs de RCE, respondendo por quase metade dos CVEs corrigidos.

Satnam Narang, engenheiro sênior de pesquisa da Tenable, apontou CVE-2024-30089, o bug no Microsoft Streaming Services, como uma das falhas de escalonamento de privilégios que as organizações mais precisam priorizar.

“Esses tipos de falhas são notoriamente úteis para cibercriminosos que buscam elevar privilégios em um sistema comprometido”, disse Narang. “Quando explorados como um dia zero, eles são normalmente associados a atores de ameaças persistentes (APT) mais avançados ou como parte de ataques direcionados.”

CVE-2024-30089 é uma das duas vulnerabilidades EoP no serviço de streaming que a Microsoft divulgou este mês. O outro é o CVE-2024-30090 , que também oferece aos invasores uma maneira de obter privilégios no nível do sistema, mas é mais difícil de explorar.

Em comentários preparados, Kev Breen, diretor sênior de pesquisa de ameaças do Immersive Lab, identificou o CVE-2024-30085 como outra falha de EoP que provavelmente atrairá o interesse dos invasores. O bug no driver de mini arquivos em nuvem do Windows permite privilégios de nível de sistema em uma máquina local.

“Este tipo de etapa de escalonamento de privilégios é frequentemente vista por agentes de ameaças em comprometimentos de rede, pois pode permitir ao invasor desabilitar ferramentas de segurança ou executar ferramentas de despejo de credenciais como o Mimikatz”, para movimento lateral e maior comprometimento, disse ele. A descrição da falha pela Microsoft sugere que ela é idêntica a CVE-2023-36036 , um bug de dia zero no Cloud Files Mini Filter que os invasores exploraram ativamente no ano passado, disse Breen.

CVE-2024-30099 é outra vulnerabilidade EoP que a Microsoft listou em sua categoria de bugs mais exploráveis. O que torna o bug especialmente notável é que ele existe no kernel do sistema operacional NT. A vulnerabilidade permite que um invasor que pode acionar – e vencer – uma condição de corrida dentro do kernel assuma o controle de um sistema afetado. No entanto, o serviço de enfileiramento de mensagens do Windows deve estar habilitado para que um invasor tenha sucesso.

“Esta vulnerabilidade deveria estar na lista de patches de todos por ser tão central para o sistema operacional”, disse Ben McCarthy, engenheiro-chefe de segurança cibernética da Immersive Labs, em comentários por e-mail.

Existem várias outras vulnerabilidades EoP relacionadas ao kernel que as organizações fariam bem em priorizar, observou McCarthy. Estes incluem CVE-2024-35250 , CVE-2024-30084 , CVE-2024-30064 , CVE-2024-30068 e CVE-2024-35250 .

“Esses tipos de vulnerabilidades são frequentemente o que os invasores tentarão transformar em armas após o dia do patch”, disse ele. “Portanto, é sempre aconselhável corrigir vulnerabilidades relacionadas ao kernel porque a exploração bem-sucedida dessas vulnerabilidades significa que elas obtêm acesso completo aos recursos de um computador e são executadas como privilégios de SISTEMA”.