深度解析)
安全公告:Microsoft 消息队列 (MSMQ) 远程代码执行漏洞 (CVE-2024–30080)
发布:2024年6月11日
最后更新:2024年6月13日
分配 CNA:微软
概述
在微软消息队列 (MSMQ) 中发现了一个关键的远程代码执行漏洞,被分配编号 CVE-2024–30080。该漏洞归类于 CWE-416(释放后使用),允许攻击者通过发送特制的 MSMQ 数据包在受影响的系统上执行任意代码。微软已发布官方修复程序来解决此问题。
详情
- CVE ID:CVE-2024–30080
- 影响:远程代码执行
- 最高严重等级:严重
- 弱点:CWE-416: 释放后使用
- CVSS v3.1 评分:9.8(基础评分)/ 8.5(时态评分)
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 作用域:未更改
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高
- 漏洞利用代码成熟度:未经证实
- 修复级别:官方修复
- 报告可信度:已确认
描述
该漏洞存在于 Windows 消息队列服务中的“释放后使用”条件。攻击者可以通过 HTTP 向 MSMQ 服务器快速连续发送一系列特制的 MSMQ 数据包来利用此漏洞,从而导致远程代码执行。此漏洞不需要任何用户交互或提升的权限。
CVSS 细分
CVSS 向量:CVSS:3.1/AV/AC/PR/UI/S/C/I/A
- 攻击向量 (AV):网络
- 攻击复杂度 (AC):低
- 所需权限 (PR):无
- 用户交互 (UI):无
- 作用域 (S):未更改
- 机密性 ©:高
- 完整性 (I):高
- 可用性 (A):高
影响
成功利用 CVE-2024–30080 可使攻击者:
- 在受影响的 MSMQ 服务器上执行任意代码。
- 控制服务器,从而操纵文件、安装恶意程序或进一步危害网络。
- 通过使服务器不可用来破坏正常操作。
可利用性
- 公开披露:否
- 已被利用:否
- 可利用性评估:利用可能性较高
缓解措施
虽然微软强烈建议安装更新来解决此漏洞,但以下缓解措施可能会有所帮助:
- 检查 MSMQ 服务状态:如果不需要,请确保未启用 Windows 消息队列服务。可以通过控制面板管理此功能。检查“MSMQ HTTP 支持”功能是否启用,以及计算机上是否有名为“消息队列”的服务正在运行。
常见问题
- 攻击者如何利用该漏洞?要利用此漏洞,攻击者需要通过 HTTP 向 MSMQ 服务器快速连续发送一系列特制的 MSMQ 数据包。这可能导致服务器端远程代码执行。
修复
- 官方修复:微软已发布补丁来修复此漏洞。建议用户和管理员立即更新其系统。
建议
- 应用更新:确保所有运行 MSMQ 服务的系统都更新到包含 CVE-2024–30080 修复程序的最新版本。
- 禁用未使用的服务:如果不需要 MSMQ,请禁用该服务以减少攻击面。
- 监控系统:定期监控系统是否存在可能表明试图利用此漏洞的任何异常活动。
- 网络分段:实施网络分段以限制漏洞被利用后的潜在影响。
参考
- Microsoft 安全公告:公告链接
- CVE 详情:CVE-2024–30080
- CWE-416:释放后使用:CWE-416
联系
如需更多信息或协助,请联系 Microsoft 安全支持。
通过保持警惕并及时应用必要的更新,用户可以保护其系统免受 CVE-2024–30080 带来的风险,并确保其数据和操作的安全性与完整性。
CSD0tFqvECLokhw9aBeRqgzMWoT3AX/+bU4PBIwC6Dgz4bU3GmSivP4eHcITsid+qdAV1yAafKV1lY1QAus9+XeKcIBhGR4rBe3oLey57Vl3sC72EJPkHw4Sqbdck8OQ0bevIxtaUYG6J+JwmfL25t+SecnTzJD7SLkjq5EXVDlLQAMHjfCU/sl8aT7x6MYS
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
