Windows-Admins sollten sich zügig um eine kritische Sicherheitslücke im Microsoft Message Queuing Service (MSMQ) in Windows und Windows Server kümmern. Sind Attacken erfolgreich, könnten Angreifer Schadcode ausführen und Systeme vollständig kompromittieren.
Die Sicherheitslücke (CVE-2023-21554) wurde am Patchday im April geschlossen. Als Voraussetzung für Attacken muss der MSMQ-Server aktiv sein, was standardmäßig nicht der Fall ist. Im Zuge von Exchange-Installationen wird der Service aber häufig aktiviert, sodass man die Lücke nicht unterschätzen sollte. Um zu prüfen, ob Systeme verwundbar sind, sollten Admins prüfen, ob der "Message Queuing"-Service läuft und auf dem TCP-Port 1801 lauscht. Davon sind einer Warnmeldung von Microsoft zufolge unter anderem Windows 10, 11 und viele Windows-Server-Versionen wie 20H2 betroffen.
Routinemäßige Scans des DFN-CERT haben ergeben, dass eine größere Zahl von Systemen an der Universität Ulm betroffen sind. Vorsichtshalber wurde am Wochenende vom kiz der betreffende Port an der Firewall gesperrt. Dennoch sollten zügig die von Microsoft angebotenen Patches eingespielt werden. Dies sollte bereits erfolgt sein, wenn die Patches automatisiert heruntergeladen und eingespielt werden.
(Hö)