
Les chercheurs et experts en sécurité mettent en garde contre une vulnérabilité critique dans le service middleware Windows Message Queuing (MSMQ) corrigée par Microsoft lors du Patch Tuesday de ce mois-ci et exposant des centaines de milliers de systèmes à des attaques.
MSMQ est disponible sur tous les systèmes d’exploitation Windows en tant que composant facultatif qui fournit aux applications des capacités de communication réseau avec une « livraison de messages garantie », et il peut être activé via PowerShell ou le Panneau de configuration.
La faille (CVE-2023-21554) permet à des attaquants non authentifiés d’obtenir l’exécution de code à distance sur des serveurs Windows non corrigés à l’aide de paquets MSMQ malveillants spécialement conçus dans des attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.
La liste des versions de serveur et de client Windows concernées comprend toutes les versions actuellement prises en charge jusqu’aux dernières versions, Windows 11 22H2 et Windows Server 2022.
Redmond a également attaché une balise « exploitation plus probable » à CVE-2023-21554, étant donné qu’il est « conscient des instances passées de ce type de vulnérabilité exploitées », ce qui en fait « une cible attrayante pour les attaquants ».
« En tant que tel, les clients qui ont examiné la mise à jour de sécurité et déterminé son applicabilité dans leur environnement doivent traiter cela avec une priorité plus élevée », avertit Microsoft.
Les chercheurs en sécurité Wayne Low du FortiGuard Lab de Fortinet et Haifei Li de Check Point Research ont été crédités pour avoir signalé la faille à Microsoft.
Plus de 360 000 serveurs MSMQ exposés aux attaques
Check Point Research a également partagé des détails supplémentaires concernant l’impact potentiel de CVE-2023-21554, affirmant avoir trouvé plus de 360 000 serveurs exposés à Internet exécutant le service MSMQ et potentiellement vulnérables aux attaques.
Le nombre de systèmes non corrigés est probablement beaucoup plus élevé, étant donné que l’estimation de Check Point Research n’inclut pas les appareils exécutant le service MSMQ qui ne sont pas accessibles sur Internet.
Même s’il s’agit d’un composant Windows facultatif qui n’est pas activé par défaut sur la plupart des systèmes, étant un service middleware utilisé par d’autres logiciels, le service sera généralement activé en arrière-plan lors de l’installation d’applications d’entreprise et continuera à fonctionner même après la désinstallation des applications.
Par exemple, Check Point Research a découvert que MSMQ sera automatiquement activé lors des installations d’Exchange Server.
« CPR a constaté que lors de l’installation du serveur Microsoft Exchange officiel, l’application de l’assistant de configuration activait le service MSMQ en arrière-plan si l’utilisateur sélectionnait l’option « Installer automatiquement les rôles et fonctionnalités Windows Server nécessaires à l’installation d’Exchange », ce qui est recommandé par Microsoft », ont déclaré les chercheurs.
« Le point important à retenir est que si MSMQ est activé sur un serveur, l’attaquant pourrait potentiellement exploiter cette vulnérabilité ou n’importe quelle vulnérabilité MSMQ et prendre le contrôle du serveur. »
Depuis mardi, la société de cyberintelligence GreyNoise a commencé à suivre les tentatives de connexion MSMQ, et elle affiche actuellement dix adresses IP différentes qui ont déjà commencé à rechercher des serveurs exposés à Internet.

Alors que Microsoft a déjà corrigé ce bogue et 96 autres failles de sécurité dans le cadre du correctif d’avril mardi, il a également conseillé aux administrateurs qui ne peuvent pas déployer immédiatement le correctif de désactiver le service Windows MSMQ (si possible) pour supprimer le vecteur d’attaque.
« Vous pouvez vérifier si un service nommé Message Queuing est en cours d’exécution et si le port TCP 1801 écoute sur la machine », a déclaré Microsoft.
Les organisations qui ne peuvent pas immédiatement désactiver MSMQ ou déployer le correctif de Microsoft peuvent également bloquer les connexions 1801/TCP provenant de sources non fiables à l’aide de règles de pare-feu.