漏洞预警-CVE-2024-30080

本月周二，Microsoft发布了49个CVE编号漏洞信息及相关补丁，没有零日漏洞或公开披露的漏洞。漏洞涉及其操作系统、办公软件、开发软件、云平台及其他相关组件。本次公布漏洞中，1个被评为严重。该漏洞（CVE-2024-30080）是Microsoft Message Queuing (MSMQ)中的远程代码执行（RCE）漏洞，并已被分配CVSS评分为9.8，Microsoft将利用评为“更可能”。微软将利用级别分为0 -检测到攻击、1-更有可能、2-可能性较小、3-不太可能被利用。“更有可能”意味着攻击者可以通过创建攻击代码持续利用此漏洞。微软于2024 年 6 月 11 日发布漏洞信息、相关补丁信息于2024 年 6 月 13更新完毕。

1.CVE-2024-30080漏洞基本情况

Windows 消息队列服务是一个 Windows 组件，系统需要启用该组件才能利用此漏洞。利用这个漏洞时，攻击者需要通过 HTTP 向 MSMQ 服务器快速发送一系列特制的 MSMQ 数据包。这可能导致在服务器端执行远程代码。

据微软称，如果在 Windows 安装中启用了该服务，名为 "Message Queueing "的服务将在 TCP 端口 1801 上运行。可使用安全工具来识别运行了该服务的系统。

CVE-2024-30080 是 2024 年修补的第四个影响 MSMQ 的 RCE，其中两个在四月的补丁星期二（CVE-2024-26232、CVE-2024-26208）版本中得到解决，一个在二月的补丁星期二（CVE-2024-21363）版本中得到解决。

2.受影响系统及官方补丁链接

受影响系统具体版本如下：

官方安全补丁链接如下，请选择相应版本补丁：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30080

3.网络雷达统计分析

通过快速搜索统计，我们发现有超过一百万台主机运行着开放的 1801 端口，大概有近145万台。

{

"query": "(services.port: 1801) and labels=`remote-access`",
"field": "services.source_ip",
"total": 1442652
)

'msmq'的搜索结果超过260万台。

{

 "query": "msmq",
"field": "services.source_ip",
"total": 2640732
}
鉴于这是一个远程代码执行漏洞，可能漏洞利用不久将出现。

4.安全建议

消息队列组件功能可通过控制面板添加。要确定您的系统是否易受攻击，请检查 MSMQ HTTP-Support 功能是否启用，以及机器上是否运行名为 "消息队列 "的服务。

请及时利用自动更新或者手动及时对涉及的系统更新补丁。如果安全更新不方便，暂时要对相关服务关闭来缓解漏洞影响。

原文始发于微信公众号（CyberOk）：漏洞预警-CVE-2024-30080