安全通告:微软消息队列(MSMQ)远程代码执行漏洞(CVE-2024-30080)
发布日期: 2024年6月11日
最后更新: 2024年6月13日
分配CNA: 微软
概述
在微软消息队列(MSMQ)中发现了一个严重的远程代码执行漏洞,编号为CVE-2024-30080。该漏洞属于CWE-416(释放后使用)类别,允许攻击者通过发送特制的MSMQ数据包在受影响的系统上执行任意代码。微软已发布官方修复程序来解决此问题。
详情
CVE ID: CVE-2024–30080
影响: 远程代码执行
最高严重性: 严重
弱点: CWE-416: 释放后使用
CVSS v3.1 评分: 9.8(基础评分)/ 8.5(时间评分)
攻击向量: 网络
攻击复杂度: 低
所需权限: 无
用户交互: 无
范围: 未改变
机密性影响: 高
完整性影响: 高
可用性影响: 高
利用代码成熟度: 未经证实
修复级别: 官方修复
报告可信度: 已确认
描述
该漏洞存在于Windows消息队列服务中的一个释放后使用(use-after-free)条件中。攻击者可以通过HTTP向MSMQ服务器快速连续发送一系列特制的MSMQ数据包来利用此漏洞,从而导致远程代码执行。该漏洞不需要任何用户交互或提升的权限。
CVSS细分
CVSS向量: CVSS:3.1/AV/AC/PR/UI/S/C/I/A
- 攻击向量(AV): 网络
- 攻击复杂度(AC): 低
- 所需权限(PR): 无
- 用户交互(UI): 无
- 范围(S): 未改变
- 机密性(C): 高
- 完整性(I): 高
- 可用性(A): 高
影响
成功利用CVE-2024–30080可能允许攻击者:
- 在受影响的MSMQ服务器上执行任意代码。
- 控制服务器,从而可以操纵文件、安装恶意程序或进一步危害网络。
- 通过使服务器不可用来中断正常操作。
可利用性
- 公开披露: 否
- 已被利用: 否
- 可利用性评估: 利用可能性较高
缓解措施
虽然微软强烈建议安装更新以解决此漏洞,但以下缓解措施可能会有所帮助:
- 检查MSMQ服务状态:
如果不需要,请确保未启用Windows消息队列服务。可以通过控制面板管理此功能。检查机器上是否启用了“MSMQ HTTP-Support”功能以及是否运行着名为“消息队列”的服务。
常见问题解答
攻击者如何利用该漏洞?
为了利用此漏洞,攻击者需要通过HTTP向MSMQ服务器快速连续发送一系列特制的MSMQ数据包。这可能导致服务器端远程代码执行。
修复方案:
官方修复: 微软已发布补丁来修复此漏洞。建议用户和管理员立即更新其系统。
建议
- 应用更新: 确保所有运行MSMQ服务的系统都更新到最新版本,以包含针对CVE-2024–30080的修复。
- 禁用未使用的服务: 如果不需要MSMQ,请禁用该服务以减少攻击面。
- 监控系统: 定期监控系统是否存在任何可能表明尝试利用此漏洞的异常活动。
- 网络分段: 实施网络分段以限制漏洞被利用后的潜在影响。
参考链接
- 微软安全通告: [链接到通告]
- CVE 详情: CVE-2024–30080
- CWE-416: 释放后使用: CWE-416
联系方式
如需更多信息或帮助,请联系微软安全支持。
通过保持警惕并及时应用必要的更新,用户可以保护其系统免受CVE-2024-30080带来的风险,并确保其数据和操作的安全性与完整性。
CSD0tFqvECLokhw9aBeRqgzMWoT3AX/+bU4PBIwC6Dgz4bU3GmSivP4eHcITsid+qdAV1yAafKV1lY1QAus9+XeKcIBhGR4rBe3oLey57Vl3sC72EJPkHw4Sqbdck8OQ0bevIxtaUYG6J+JwmfL25sCnVKEkvyXaKhIpM/MRl7K53RKe9Bmz8rPHoqhwD8Iu
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
