Предупреждение от Microsoft о том, что выпущенный на прошлой неделе патч для Windows может привести к сбоям в работе функции Message Queuing (MSMQ) в операционной системе, может быть причиной многочисленных сообщений о неисправностях приложений Интернета вещей (IoT).
Дэвид Шипли, руководитель канадского поставщика тренингов по кибербезопасности Beauceron Security, сообщил, что сегодня видел запрос на форуме Microsoft Learn о том, связана ли проблема MSMQ со сбоем системы точек продаж компании при выдаче чеков.
Другой пользователь разместил запрос на другом форуме Microsoft о том, что в здании в неназванном городе не работают системы пожарной сигнализации и дымоудаления.
Связь между этими сообщениями и обновлением безопасности Microsoft от 16 декабря, касающимся проблемы MSMQ, не могла быть подтверждена. Однако Шипли отметил, что странно, что в первоначальном совете Microsoft указано наличие обходного пути, но вместо его описания администраторам предлагается связаться со службой поддержки Microsoft для бизнеса.
«Самые пугающие слова, когда речь идет о серьезном сбое в Windows, который вы пытаетесь исправить и который вызывает сбои в ваших приложениях, — это «Позвоните нам», — сказал он.
MSMQ — это протокол безопасной передачи сообщений между приложениями, отметил Шипли, поэтому, если возникнет проблема, «это сломает всё».
Сообщение Microsoft гласит, что пользователи домашних или профессиональных версий Windows на личных устройствах «крайне маловероятно столкнутся с этой проблемой. Эта проблема в основном затрагивает корпоративные или управляемые ИТ-среды», включая те, которые работают с кластеризованными средами MSMQ под нагрузкой.
Симптомы включают:
- MSMQ становится неактивным;
- Сайты Internet Information Services (IIS) выдают ошибки «Недостаточно ресурсов для выполнения операции»;
- Приложения не могут записывать в очереди;
- Ошибки, такие как «Не удается создать файл сообщения «C:\Windows\System32\msmq\storage*.mq» при создании файлов сообщений;
- Ложные записи в журнале, такие как «Недостаточно места на диске или памяти», несмотря на наличие достаточного места на диске и памяти.
Затронуты серверы под управлением Windows Server 2019 и 2016, Windows Server 2012 R2 и Windows Server 2012.
Также затронуты ПК под управлением Windows 10 версии 22H2, Windows 10 версии 21H2, Windows 10 версии 1809 и Windows 10 версии 1607. Поддержка Windows 10 закончилась 14 октября, поэтому проблема должна затрагивать эти системы только в том случае, если администраторы заплатили за расширенную поддержку и получили декабрьское обновление.
Эта проблема вызвана обновлением безопасности Patch Tuesday от декабря (KB5071546), которое внесло изменения в модель безопасности MSMQ и разрешения NTFS для папки хранилища C:\Windows\System32\MSMQ\. Теперь пользователям MSMQ требуется разрешение на запись в эту папку, которая обычно ограничена администраторами, сообщает Microsoft. В результате попытки отправки сообщений через API MSMQ могут завершиться ошибками ресурсов.
«Для затронутых устройств доступен обходной путь», — говорится в обновлении Microsoft. «Чтобы применить обходной путь и устранить эту проблему в вашей организации, пожалуйста, свяжитесь со службой поддержки Microsoft для бизнеса. Мы изучаем эту проблему и предоставим дополнительную информацию, как только она появится».
Джек Бикер, директор по исследованиям уязвимостей в Action1, предложил временное решение для сбоев MSMQ: администраторы Windows должны предоставить права на запись в каталог MSMQ C:\Windows\System32\msmq. Как только Microsoft предоставит официальное обновление, следует вернуть разрешения каталога к исходному состоянию и развернуть исправление, сказал он.
Дэнни Нгуен из Wicloud на форуме Microsoft Learn предположил, что администраторы могут либо откатить декабрьское обновление безопасности (KB5071546), либо изменить разрешения, как предлагает Бикер. Однако Нгуен призвал администраторов проконсультироваться со своей командой безопасности перед внесением изменений на системном уровне.
Представителю Microsoft был задан вопрос о комментарии, но ответ к моменту публикации не был получен.
Это не первая проблема с MSMQ в последнее время; в прошлом году Microsoft обнаружила уязвимость удаленного выполнения кода (CVE-2024-30008) с рейтингом критичности 9.8.
Однако в данном случае, отметил Роберт Беггс, глава канадской фирмы по реагированию на инциденты DigitalDefence, хотя причиной проблемы является патч безопасности, влияние и обходной путь не являются строго вопросами безопасности. Поэтому он считает, что исправление — это обходной путь, не связанный с безопасностью и поддержкой безопасности, а обычная поддержка системы Windows.
Что касается причины, по которой компания просит администраторов обращаться в службу поддержки Microsoft для бизнеса за обходным путем, он предположил, что Microsoft может захотеть распределить нагрузку, чтобы гарантировать, что поддержка безопасности не будет перегружена.
В более широком смысле, предупредил Шипли, любое обновление, которое приводит к сбою бизнес-приложения, является той проблемой, которая отталкивает администраторов от установки патчей. Декабрь — самый важный месяц в году для розничной торговли, и это не время для того, чтобы POS-терминалы выходили из строя из-за установки нового патча.
Эта статья изначально появилась на Computerworld.
Автор – Howard Solomon
