2023年4月11日,Microsoft 发布了CVE-2023-21554:Microsoft 消息队列远程代码执行漏洞公告。
CVE-2023-21554 是一个严重的未授权远程代码执行 (RCE) 漏洞,CVSS 评分为 9.8,最高严重度。攻击复杂性低,不需要任何权限或用户交互。攻击者可以发送恶意制作的MSMQ 数据包到MSMQ 服务器来利用该漏洞,成功利用该漏洞可能导致在服务器端远程执行代码。
什么是 Microsoft 消息队列(MSMQ)?
Microsoft 消息队列是一种支持应用程序之间异步通信的技术。它解耦了分布式系统的发送和接收组件,使其成为设计可支持异构网络和离线使用的应用程序时的流行选择。虽然 MSMQ 可以被视为一项遗留技术,但它可用于各种 Microsoft 操作系统,包括最新版本的 Windows 11。MSMQ 通常用作企业应用程序的中间件组件,并与 Microsoft 的 .NET Framework 完全集成。
Bitdefender建议
中间件中的任何漏洞都可能对其他系统产生级联效应。我们发布此安全公告是为了帮助我们的客户立即识别可能的漏洞并建议采取主动措施来缓解此漏洞。截至撰写本公告时,尚无可用的公开概念验证 (POC) 漏洞利用,也未报告任何实际事件。
我们强烈建议你尽快安装官方补丁。遗留应用程序经常受到延迟或跳过补丁的影响,但这样做会导致严重后果。最重要的是优先为暴露在Internet上的系统打补丁,且不要忽视内部的系统。
在Bitdefender XDR平台中搜索和修复此漏洞
您可以使用Bitdefender漏洞扫描和补丁管理功能,在整个基础架构中进行漏洞扫描,快速识别和修复此漏洞。
此外,您还可以使用GravityZone 平台的实时搜索查询功能。借助实时搜索,您可以使用 OSquery 直接从在线端点检索有关事件和系统统计信息的信息,OSquery 是一种使用 SQLite 查询语言的操作系统检测框架。
使用如下实时查询搜索语句,主动监控基础设施以发现潜在的利用攻击并做出相应的响应:
1.SELECT processes.name, processes.path, listening_ports.port
2.FROM processes
3.JOIN listening_ports
4.ON listening_ports.pid = processes.pid
5.WHERE6.processes.name = 'mqsvc.exe';
发表于 2023-4-14 09:35:43
