Microsoft MSMQ高危远程代码执行漏洞(CVE-2024-30080)深度解析

安全公告：Microsoft 消息队列 (MSMQ) 远程代码执行漏洞 (CVE-2024–30080)

发布：2024年6月11日
最后更新：2024年6月13日
分配 CNA：微软

概述

在微软消息队列 (MSMQ) 中发现了一个关键的远程代码执行漏洞，被分配编号 CVE-2024–30080。该漏洞归类于 CWE-416（释放后使用），允许攻击者通过发送特制的 MSMQ 数据包在受影响的系统上执行任意代码。微软已发布官方修复程序来解决此问题。

详情

• CVE ID：CVE-2024–30080
• 影响：远程代码执行
• 最高严重等级：严重
• 弱点：CWE-416: 释放后使用
• CVSS v3.1 评分：9.8（基础评分）/ 8.5（时态评分）
• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：无
• 用户交互：无
• 作用域：未更改
• 机密性影响：高
• 完整性影响：高
• 可用性影响：高
• 漏洞利用代码成熟度：未经证实
• 修复级别：官方修复
• 报告可信度：已确认

描述

该漏洞存在于 Windows 消息队列服务中的“释放后使用”条件。攻击者可以通过 HTTP 向 MSMQ 服务器快速连续发送一系列特制的 MSMQ 数据包来利用此漏洞，从而导致远程代码执行。此漏洞不需要任何用户交互或提升的权限。

CVSS 细分

CVSS 向量：CVSS:3.1/AV/AC/PR/UI/S/C/I/A

• 攻击向量 (AV)：网络
• 攻击复杂度 (AC)：低
• 所需权限 (PR)：无
• 用户交互 (UI)：无
• 作用域 (S)：未更改
• 机密性 ©：高
• 完整性 (I)：高
• 可用性 (A)：高

影响

成功利用 CVE-2024–30080 可使攻击者：

• 在受影响的 MSMQ 服务器上执行任意代码。
• 控制服务器，从而操纵文件、安装恶意程序或进一步危害网络。
• 通过使服务器不可用来破坏正常操作。

可利用性

• 公开披露：否
• 已被利用：否
• 可利用性评估：利用可能性较高

缓解措施

虽然微软强烈建议安装更新来解决此漏洞，但以下缓解措施可能会有所帮助：

• 检查 MSMQ 服务状态：如果不需要，请确保未启用 Windows 消息队列服务。可以通过控制面板管理此功能。检查“MSMQ HTTP 支持”功能是否启用，以及计算机上是否有名为“消息队列”的服务正在运行。

常见问题

• 攻击者如何利用该漏洞？要利用此漏洞，攻击者需要通过 HTTP 向 MSMQ 服务器快速连续发送一系列特制的 MSMQ 数据包。这可能导致服务器端远程代码执行。

修复

• 官方修复：微软已发布补丁来修复此漏洞。建议用户和管理员立即更新其系统。

建议

• 应用更新：确保所有运行 MSMQ 服务的系统都更新到包含 CVE-2024–30080 修复程序的最新版本。
• 禁用未使用的服务：如果不需要 MSMQ，请禁用该服务以减少攻击面。
• 监控系统：定期监控系统是否存在可能表明试图利用此漏洞的任何异常活动。
• 网络分段：实施网络分段以限制漏洞被利用后的潜在影响。

参考

• Microsoft 安全公告：公告链接
• CVE 详情：CVE-2024–30080
• CWE-416：释放后使用：CWE-416

联系

如需更多信息或协助，请联系 Microsoft 安全支持。

通过保持警惕并及时应用必要的更新，用户可以保护其系统免受 CVE-2024–30080 带来的风险，并确保其数据和操作的安全性与完整性。
CSD0tFqvECLokhw9aBeRqgzMWoT3AX/+bU4PBIwC6Dgz4bU3GmSivP4eHcITsid+qdAV1yAafKV1lY1QAus9+XeKcIBhGR4rBe3oLey57Vl3sC72EJPkHw4Sqbdck8OQ0bevIxtaUYG6J+JwmfL25t+SecnTzJD7SLkjq5EXVDlLQAMHjfCU/sl8aT7x6MYS
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）