安全公告:Microsoft 消息队列 (MSMQ) 远程代码执行漏洞 (CVE-2024–30080)
发布: 2024年6月11日 最后更新: 2024年6月13日 分配 CNA: 微软
概述
在微软消息队列 (MSMQ) 中发现了一个关键的远程代码执行漏洞,被分配编号 CVE-2024–30080。该漏洞归类于 CWE-416(释放后使用),允许攻击者通过发送特制的 MSMQ 数据包在受影响的系统上执行任意代码。微软已发布官方修复程序来解决此问题。
详情
- CVE ID: CVE-2024–30080
- 影响: 远程代码执行
- 最高严重等级: 严重
- 弱点: CWE-416: 释放后使用
- CVSS v3.1 评分: 9.8(基础评分)/ 8.5(时态评分)
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 作用域: 未更改
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
- 漏洞利用代码成熟度: 未经证实
- 修复级别: 官方修复
- 报告可信度: 已确认
描述
该漏洞存在于 Windows 消息队列服务中的“释放后使用”条件。攻击者可以通过 HTTP 向 MSMQ 服务器快速连续发送一系列特制的 MSMQ 数据包来利用此漏洞,从而导致远程代码执行。此漏洞不需要任何用户交互或提升的权限。
CVSS 细分
CVSS 向量: CVSS:3.1/AV/AC/PR/UI/S/C/I/A
- 攻击向量 (AV): 网络
- 攻击复杂度 (AC): 低
- 所需权限 (PR): 无
- 用户交互 (UI): 无
- 作用域 (S): 未更改
- 机密性 ©: 高
- 完整性 (I): 高
- 可用性 (A): 高
影响
成功利用 CVE-2024–30080 可使攻击者:
- 在受影响的 MSMQ 服务器上执行任意代码。
- 控制服务器,从而操纵文件、安装恶意程序或进一步危害网络。
- 通过使服务器不可用来破坏正常操作。
可利用性
- 公开披露: 否
- 已被利用: 否
- 可利用性评估: 利用可能性较高
缓解措施
虽然微软强烈建议安装更新来解决此漏洞,但以下缓解措施可能会有所帮助:
- 检查 MSMQ 服务状态: 如果不需要,请确保未启用 Windows 消息队列服务。可以通过控制面板管理此功能。检查“MSMQ HTTP 支持”功能是否启用,以及计算机上是否有名为“消息队列”的服务正在运行。
常见问题
- 攻击者如何利用该漏洞? 要利用此漏洞,攻击者需要通过 HTTP 向 MSMQ 服务器快速连续发送一系列特制的 MSMQ 数据包。这可能导致服务器端远程代码执行。
修复
- 官方修复: 微软已发布补丁来修复此漏洞。建议用户和管理员立即更新其系统。
建议
- 应用更新: 确保所有运行 MSMQ 服务的系统都更新到包含 CVE-2024–30080 修复程序的最新版本。
- 禁用未使用的服务: 如果不需要 MSMQ,请禁用该服务以减少攻击面。
- 监控系统: 定期监控系统是否存在可能表明试图利用此漏洞的任何异常活动。
- 网络分段: 实施网络分段以限制漏洞被利用后的潜在影响。
参考
- Microsoft 安全公告:公告链接
- CVE 详情:CVE-2024–30080
- CWE-416:释放后使用:CWE-416
联系
如需更多信息或协助,请联系 Microsoft 安全支持。
通过保持警惕并及时应用必要的更新,用户可以保护其系统免受 CVE-2024–30080 带来的风险,并确保其数据和操作的安全性与完整性。 CSD0tFqvECLokhw9aBeRqgzMWoT3AX/+bU4PBIwC6Dgz4bU3GmSivP4eHcITsid+qdAV1yAafKV1lY1QAus9+XeKcIBhGR4rBe3oLey57Vl3sC72EJPkHw4Sqbdck8OQ0bevIxtaUYG6J+JwmfL25t+SecnTzJD7SLkjq5EXVDlLQAMHjfCU/sl8aT7x6MYS
