تهدیدها

CVE-2024-30080: نفوذگران کنترل سیستم را با آسیب‌پذیری MSMQ به دست می‌آورند!

۱۴۰۳-۰۳-۲۶

به تازگی یک آسیب‌پذیری RCE حیاتی با شناسه CVE-2024-30080 و امتیاز 9.8 در (MSMQ) Microsoft Message Queuing کشف شده است که امکان اجرای کد دلخواه و دسترسی SYSTEM را در نسخه‌های آسیب‌ دیده ویندوز سرور و ویندوز 10 فراهم می‌سازد.

شدیدترین نقص امنیتی که در به روزرسانی‌های ماه ژوئن توسط Microsoft برطرف شده است، آسیب‌پذیری حیاتی اجرای کد از راه دور (RCE) و ضعف Use After Free در سرویس Microsoft Message Queuing (MSMQ) است که با شناسه CVE-2024-30080 و امتیاز 9.8 ردیابی می‌شود.

Message Queuing (MSMQ)

فناوری صف پیام یا (MSMQ) Microsoft Message Queuing توسط مایکروسافت در سیستم عامل ویندوز توسعه یافته است. MSMQ نوعی ارتباط سرویس به سرویس ناهمزمان است که اپلیکیشن‌هایی را که در زمان‌های مختلف اجرا می‌شوند، قادر می‌سازد تا بین شبکه‌ها و سیستم‌های غیر هم‌زمان (ناهمگن) که ممکن است موقتاً آفلاین باشند، ارتباط برقرار کنند.

اپلیکیشن‌ها پیام‌ها را به صف می‌فرستند و پیام‌ها را از صف می‌خوانند. در واقع Message Queuing یا صف پیام، تحویل تضمین شده پیام، مسیریابی کارآمد، امنیت و پیام‌رسانی مبتنی بر اولویت را فراهم می‌کند. MSMQ در موارد زیر اعمال شده است:

Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server Technical Preview, Windows Vista

تأثیر

بنابر گفته مایکروسافت: نقص امنیتی CVE-2024-30080 به مهاجم احراز هویت نشده از راه دور اجازه می‌دهد که با ارسال پیام ساختگی ویژه به سرویس MSMQ، اقدام به اجرای کد دلخواه روی سیستم هدف و به دست آوردن دسترسی SYSTEM کند. این امر می‌تواند امکان نصب برنامه‌ها، مشاهده، تغییر و یا حذف داده‌ها،‌ همچنین ایجاد حساب‌های کاربری جدید با سطح دسترسی کامل و در نهایت کنترل سیستم را برای نفوذگران به همراه داشته باشد.

محصولات تحت تأثیر

این آسیب‌پذیری به طور کلی سرویس MSMQ را تحت تاثیر قرار می‌دهد.

اکسپلویت

نفوذگران به منظور سوء استفاده از این آسیب‌پذیری، باید مجموعه‌ای از پَکت‌های MSMQ ساخته شده ویژه را در یک توالی‌ سریع (rapid sequence) از طریق HTTP به سرور MSMQ ارسال کنند که می‌تواند منجر