Η Microsoft επιβεβαίωσε ότι οι ενημερώσεις ασφαλείας του Δεκεμβρίου 2025 παραβιάζουν τη λειτουργικότητα της ουράς μηνυμάτων (MSMQ), επηρεάζοντας τις εταιρικές εφαρμογές και τους ιστότοπους των Υπηρεσιών Πληροφοριών Διαδικτύου (IIS).
Αυτό το γνωστό ζήτημα επηρεάζει τα συστήματα Windows 10 22H2, Windows Server 2019 και Windows Server 2016 που έχουν εγκαταστήσει το KB5071546, KB5071544και KB5071543 ενημερώσεις ασφαλείας που κυκλοφόρησαν κατά τη διάρκεια του Patch Tuesday αυτού του μήνα.
Στα επηρεαζόμενα συστήματα, οι χρήστες αντιμετωπίζουν ένα ευρύ φάσμα συμπτωμάτων, από ανενεργές ουρές MSMQ και ιστότοπους IIS που αποτυγχάνουν με σφάλματα “ανεπαρκείς πόρους” έως εφαρμογές που δεν μπορούν να εγγράψουν σε ουρές. Ορισμένα συστήματα εμφανίζουν επίσης παραπλανητική “Υπάρχει ανεπαρκής χώρος στο δίσκο ή μνήμη”, παρά το γεγονός ότι έχουν περισσότερους από αρκετούς διαθέσιμους πόρους.
Σύμφωνα με τη Microsoft, το πρόβλημα προέρχεται από αλλαγές μοντέλου ασφαλείας που εισήχθησαν στην υπηρεσία MSMQ που έχουν τροποποιήσει δικαιώματα σε έναν κρίσιμο φάκελο συστήματος, απαιτώντας από τους χρήστες MSMQ να έχουν πρόσβαση εγγραφής σε έναν κατάλογο που συνήθως περιορίζεται στους διαχειριστές.
Αυτό σημαίνει ότι το γνωστό ζήτημα δεν θα επηρεάσει τις συσκευές στις οποίες οι χρήστες είναι συνδεδεμένοι με έναν λογαριασμό που τους παρέχει πλήρη δικαιώματα διαχείρισης.
“Αυτό το ζήτημα προκαλείται από τις πρόσφατες αλλαγές που εισήχθησαν στο μοντέλο ασφαλείας MSMQ και τα δικαιώματα NTFS στο φάκελο C:\Windows\System32\MSMQ\storage. Οι χρήστες MSMQ απαιτούν πλέον πρόσβαση εγγραφής σε αυτόν τον φάκελο, η οποία συνήθως περιορίζεται στους διαχειριστές.” εξήγησε η Microsoft.
“Ως αποτέλεσμα, οι προσπάθειες αποστολής μηνυμάτων μέσω MSMQ API ενδέχεται να αποτύχουν λόγω σφαλμάτων πόρων. Αυτό το ζήτημα επηρεάζει επίσης τα συμπλεγμένα περιβάλλοντα MSMQ υπό φόρτωση.”
Ο MSMQ Η υπηρεσία είναι διαθέσιμη σε όλα τα λειτουργικά συστήματα Windows ως προαιρετικό στοιχείο. Παρέχει εφαρμογές με δυνατότητες επικοινωνίας δικτύου και χρησιμοποιείται συνήθως σε εταιρικά περιβάλλοντα.
Η Microsoft διερευνά το ζήτημα, αλλά δεν έχει παράσχει χρονοδιάγραμμα για επιδιόρθωση ή επιβεβαίωσε εάν θα περιμένει την επόμενη προγραμματισμένη έκδοση ή αν θα εκδώσει μια επείγουσα ενημέρωση. Προς το παρόν, οι διαχειριστές που αντιμετωπίζουν αυτό το ζήτημα ίσως χρειαστεί να εξετάσουν το ενδεχόμενο επαναφοράς των ενημερώσεων, αν και αυτό εγείρει τις δικές του ανησυχίες για την ασφάλεια.
Τον Απρίλιο του 2023, η Microsoft προειδοποίησε επίσης τους διαχειριστές IT να επιδιορθώσουν μια κρίσιμη ευπάθεια (CVE-2023-21554) στην υπηρεσία MSMQ που εξέθεσε εκατοντάδες συστήματα σε επιθέσεις απομακρυσμένης εκτέλεσης κώδικα.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
