S3 Ep102.5: "ProxyNotShell" এক্সচেঞ্জ বাগ - একজন বিশেষজ্ঞ কথা বলেন [অডিও + পাঠ্য]

যেকোন বিন্দুতে এড়িয়ে যেতে নীচের সাউন্ডওয়েভগুলিতে ক্লিক করুন এবং টেনে আনুন। আপনি এটিও করতে পারেন সরাসরি শুনুন সাউন্ডক্লাউডে।

[মিউজিক্যাল মডেম]

---

হাঁস.  হ্যালো সবাই.

নেকেড সিকিউরিটি পডকাস্টের আরেকটি বিশেষ মিনি-এপিসোডে স্বাগতম।

আমি পল ডাকলিন, আমার বন্ধু এবং সহকর্মী চেস্টার উইসনিউস্কি আবার যোগ দিয়েছেন।

হ্যালো, চেট.

---

CHET.  [জাল অস্ট্রেলিয়া অ্যাকসেন্ট] G'day, হাঁস.

---

হাঁস.  ওয়েল, চেট, আমি নিশ্চিত যে সবাই শুনছে। যদি তারা পডকাস্ট বের হওয়ার কিছুক্ষণ পরেই শুনতে থাকে, তাহলে আমরা কী নিয়ে কথা বলতে যাচ্ছি তা জানে!

এবং এটা এই ডবল ব্যারেল হতে হবে মাইক্রোসফট এক্সচেঞ্জ শূন্য-দিন যা 2022 সালের সেপ্টেম্বরের শেষ দিনে ধোয়ার মধ্যে বেরিয়ে এসেছিল:

আমাদের সেলস চামস চলছে, "ওহ, এটা মাস-এন্ড, এটা কোয়ার্টার-এন্ড, এটা একটা উন্মত্ত সময়...কিন্তু আগামীকাল সবাই $0 তে রিসেট করবে।"

Sysadmins এবং IT ম্যানেজারের জন্য এই সপ্তাহান্তে এটি এমন হবে না!

---

CHET.  হাঁস, আমি মনে করি, প্রিয় বিদায়ী ডগলাস অ্যাডামসের অমর কথায়, "আতঙ্কিত হবেন না" ক্রমানুসারে হতে পারে।

অনেক প্রতিষ্ঠানই আর এক্সচেঞ্জ সার্ভারে তাদের নিজস্ব ইমেল অন-প্রিমাইজে হোস্ট করে না, তাই খুব বেশি চাপ না দিয়ে খুব বেশি লোক এই সপ্তাহান্তে গভীর শ্বাস নিতে পারে এবং একটু সময় কাটাতে পারে।

কিন্তু আপনি যদি এক্সচেঞ্জ অন-প্রিমাইজ চালাচ্ছেন...

…যদি আমি হতাম, আমি হয়ত কিছু ওভারটাইম ঘন্টা কাজ করতাম শুধু কিছু প্রশমিত করার জন্য, নিশ্চিত হতে যে সোমবার বা মঙ্গলবার আমার কোন অপ্রীতিকর আশ্চর্য হবে না যখন এটি, সব সম্ভাবনায়, আরও কিছু হয়ে উঠবে। নাটকীয়

---

হাঁস.  তাই এটা জন্য CVE-2022-41040 এবং জন্য CVE-2022-41042… এটা বেশ মুখের কথা।

আমি এটি টুইটারে উল্লেখ করা হচ্ছে দেখেছি ProxyNotShell, কারণ এটির সাথে কিছু মিল রয়েছে প্রক্সিশেল দুর্বলতা যা এক বছর আগে বড় গল্প ছিল,

কিন্তু যদিও এটির সেই মিল রয়েছে, এটি একটি সম্পূর্ণ নতুন জোড়া শোষণ যা একসাথে শৃঙ্খল করে, সম্ভাব্যভাবে রিমোট কোড এক্সিকিউশন দেয় - এটি কি সঠিক?

---

CHET.  এটা কি মত শোনাচ্ছে.

এই দুর্বলতাগুলি একজন শিকারের বিরুদ্ধে সক্রিয় আক্রমণের সময় আবিষ্কৃত হয়েছিল, এবং GTSC নামক একটি ভিয়েতনামী সংস্থা এই দুটি নতুন দুর্বলতা উন্মোচন করেছে যা প্রতিপক্ষকে তাদের কিছু ক্লায়েন্টের কাছে অ্যাক্সেস পেতে দেয়।

মনে হচ্ছে তারা দায়িত্বশীলভাবে প্রকাশ করেছে যারা দুর্বলতা জিরো ডে ইনিশিয়েটিভ [জেডডিআই]-এ যা শূন্য-দিনের দুর্বলতাগুলি দায়িত্বের সাথে রিপোর্ট করার জন্য ট্রেন্ড মাইক্রো দ্বারা পরিচালিত।

এবং, অবশ্যই, ZDI তারপরে মাইক্রোসফ্টের সাথে সেই সমস্ত বুদ্ধি ভাগ করে নিয়েছে, তিন সপ্তাহ আগে।

এবং আজ এটি বের হওয়ার কারণ হল আমি মনে করি ভিয়েতনামী গ্রুপ…

…মনে হচ্ছে তারা একটু অধৈর্য্য এবং উদ্বিগ্ন হয়ে পড়েছে যে তিন সপ্তাহ হয়ে গেছে এবং এই কথিত জাতি-রাষ্ট্র অভিনেতাদের বিরুদ্ধে জনগণকে রক্ষা করতে কোনো সতর্কতা বা পরামর্শ আসেনি।

তাই তারা বিপদের ঘণ্টা বাড়ানোর সিদ্ধান্ত নিয়েছে এবং সবাইকে জানাবে যে তাদের নিজেদের রক্ষা করার জন্য কিছু করতে হবে।

---

হাঁস.  এবং, ন্যায্য হতে, তারা সাবধানে বলেছিল, "আমরা ঠিক কীভাবে এই দুর্বলতাগুলিকে কাজে লাগাতে পারি তা প্রকাশ করতে যাচ্ছি না, তবে আমরা আপনাকে প্রশমিত করতে যাচ্ছি যা আমরা কার্যকর বলে মনে করেছি।"

শুনে মনে হচ্ছে হয় নিজেরাই শোষণ করা বিশেষ করে বিপজ্জনক নয়…

…কিন্তু একসাথে শৃঙ্খলিত, এর মানে হল যে সংস্থার বাইরের কেউ যার কাছে আপনার সার্ভার থেকে ইমেল পড়ার ক্ষমতা আছে সে আসলে প্রথম বাগটি দরজা খুলতে ব্যবহার করতে পারে এবং দ্বিতীয় বাগটি মূলত আপনার এক্সচেঞ্জ সার্ভারে ম্যালওয়্যার স্থাপন করতে।

---

CHET.  এবং এটি একটি সত্যিই গুরুত্বপূর্ণ পয়েন্ট, হাঁস, যে আপনি বলেছিলেন, "যে কেউ আপনার সার্ভারে ইমেল পড়তে পারে।"

এটি একটি *অপ্রমাণিত* আক্রমণ নয়, তাই আক্রমণকারীদের এই আক্রমণগুলি সফলভাবে চালানোর জন্য আপনার সংস্থার কিছু বুদ্ধিমত্তা থাকতে হবে।

---

হাঁস.  এখন, আমরা জানি না তাদের কী ধরনের শংসাপত্রের প্রয়োজন, কারণ আমরা যখন এটি রেকর্ড করছি [2022-09-30T23:00:00Z], তখনও সবকিছু অনেকাংশে গোপন।

কিন্তু আমি যা পড়েছি (আমি বিশ্বাস করতে আগ্রহী এমন লোকদের থেকে), দেখে মনে হচ্ছে সেশন কুকি বা প্রমাণীকরণ টোকেনগুলি যথেষ্ট ভাল নয় এবং আপনার আসলে একটি ব্যবহারকারীর পাসওয়ার্ডের প্রয়োজন হবে।

পাসওয়ার্ড প্রদান করার পরে, তবে যদি দুই-ফ্যাক্টর প্রমাণীকরণ [2FA] থাকে, প্রথম বাগটি (যেটি দরজা খুলে দেয়) ট্রিগার হয় *যে বিন্দুতে পাসওয়ার্ড প্রদান করা হয়েছে এবং যে বিন্দুতে 2FA কোড হবে তার মধ্যে অনুরোধ*.

সুতরাং আপনার পাসওয়ার্ড দরকার, কিন্তু আপনার 2FA কোডের প্রয়োজন নেই...

---

CHET.  মনে হচ্ছে এটি একটি "মধ্য-প্রমাণকরণ দুর্বলতা", যদি আপনি এটিকে বলতে চান।

এটি একটি মিশ্র আশীর্বাদ।

এর মানে এই যে একটি স্বয়ংক্রিয় পাইথন স্ক্রিপ্ট শুধুমাত্র পুরো ইন্টারনেট স্ক্যান করতে পারে না এবং কয়েক মিনিট বা ঘন্টার মধ্যে বিশ্বের প্রতিটি এক্সচেঞ্জ সার্ভারকে সম্ভাব্যভাবে শোষণ করতে পারে না, যেমনটি আমরা দেখেছি 2021 সালে প্রক্সিলগন এবং প্রক্সিশেলের সাথে।

আমরা গত 18 মাসে কৃমির প্রত্যাবর্তন দেখেছি, অনেক সংস্থার ক্ষতি হয়েছে।

---

হাঁস.  "কৃমি"?

---

CHET.  ওয়ার্মেজ, হ্যাঁ! [হাসি]

---

হাঁস.  এটা কি একটি শব্দ?

ওয়েল, এটা না হলে, এটা এখন!

আমি এটা পছন্দ করি... আমি এটা ধার করতে পারি, চেস্টার। [হাসি]

---

CHET.  আমি মনে করি এই হালকা কৃমি, তাই না?

আপনার একটি পাসওয়ার্ড দরকার, কিন্তু যে কোনো এক্সচেঞ্জ সার্ভারে বৈধ একটি ইমেল ঠিকানা এবং পাসওয়ার্ডের সমন্বয় খুঁজে পাওয়া দুর্ভাগ্যবশত খুব কঠিন নয়।

আপনি যখন শত শত বা হাজার হাজার ব্যবহারকারীর কথা বলেন... অনেক প্রতিষ্ঠানে, তাদের মধ্যে এক বা দুটির পাসওয়ার্ড খারাপ থাকতে পারে।

এবং আপনি আজ অবধি শোষিত নাও হতে পারেন, কারণ সফলভাবে Outlook Web Access [OWA]-এ লগ ইন করার জন্য তাদের FIDO টোকেন, বা তাদের প্রমাণীকরণকারী, বা আপনি যেকোন দ্বিতীয় ফ্যাক্টর ব্যবহার করতে পারেন।

কিন্তু এই আক্রমণের জন্য সেই দ্বিতীয় ফ্যাক্টরের প্রয়োজন নেই।

সুতরাং, শুধুমাত্র একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড সংমিশ্রণ অর্জন করা একটি খুব কম বাধা…

---

হাঁস.  এখন এখানে আরেকটি জটিলতা আছে, তাই না?

যথা যদিও মাইক্রোসফট এর গাইডলাইন আনুষ্ঠানিকভাবে বলে যে মাইক্রোসফ্ট এক্সচেঞ্জ অনলাইন গ্রাহকরা ব্লু অ্যালার্ট থেকে সরে যেতে পারেন, এটি শুধুমাত্র বিপজ্জনক যদি আপনার অন-প্রিমিস এক্সচেঞ্জ থাকে...

…অনেক আশ্চর্যজনক সংখ্যক লোক আছে যারা ক্লাউডে স্যুইচ করেছিল, সম্ভবত বেশ কয়েক বছর আগে, যারা পরিবর্তনের সময় একই সময়ে তাদের অন-প্রিমিসেস এবং তাদের ক্লাউড পরিষেবা উভয়ই চালাচ্ছিল, যারা কখনও অন-প্রিমিসেস বন্ধ করতে পারেনি। এক্সচেঞ্জ সার্ভার।

---

CHET.  অবিকল!

আমরা এটিকে প্রক্সিলগিন এবং প্রক্সিশেলে ফিরে যেতে দেখেছি।

অনেক ক্ষেত্রে, অপরাধীরা এক্সচেঞ্জ সার্ভারের মাধ্যমে তাদের নেটওয়ার্কে প্রবেশ করেছিল যা তারা ভেবেছিল যে তাদের কাছে নেই।

যেমন, কেউ তাদের ভিএমওয়্যার সার্ভারে চলমান VM-এর তালিকা চেক করে দেখেনি যে তাদের মাইগ্রেটরি এক্সচেঞ্জ সার্ভারগুলি যা তাদের অন-প্রিমিস নেটওয়ার্ক এবং ক্লাউড নেটওয়ার্কের মধ্যে ডেটা ফর্কলিফটিং করার সময় তাদের সহায়তা করছে…

…এখনও, বাস্তবে, চালু ছিল, এবং সক্রিয় করা হয়েছে এবং ইন্টারনেটের সংস্পর্শে এসেছে।

এবং আরও খারাপ, যখন তারা সেখানে আছে বলে জানা যায় না, তখন তাদের প্যাচ হওয়ার সম্ভাবনা কম থাকে।

আমি বলতে চাচ্ছি, যে সংস্থাগুলির এক্সচেঞ্জ রয়েছে তারা সম্ভবত নিয়মিতভাবে তাদের রক্ষণাবেক্ষণের সময়সূচী করার পথের বাইরে চলে যায়।

কিন্তু যখন আপনি জানেন না যে আপনার নেটওয়ার্কে আপনার কিছু আছে "কারণ আপনি ভুলে গেছেন", যা VM-এর সাথে সত্যিই সহজ, আপনি আরও খারাপ পরিস্থিতির মধ্যে রয়েছেন, কারণ আপনি সম্ভবত উইন্ডোজ আপডেট বা এক্সচেঞ্জ আপডেটগুলি প্রয়োগ করেননি৷

---

হাঁস.  এবং মারফির আইন বলে যে আপনি যদি সত্যিই সেই সার্ভারের উপর নির্ভর করেন এবং আপনি এটির ঠিকমতো দেখাশোনা না করেন তবে আপনার সত্যিই এটির প্রয়োজনের ঠিক আগের দিন এটি ক্র্যাশ হয়ে যাবে।

কিন্তু যদি আপনি না জানেন যে এটি সেখানে আছে এবং এটি খারাপের জন্য ব্যবহার করা যেতে পারে, তবে এটি বছরের পর বছর এবং বছরের পর বছর ধরে চলার সম্ভাবনা একেবারেই বেশি। [হাসি]

---

CHET.  হ্যাঁ, দুর্ভাগ্যবশত, এটা অবশ্যই আমার অভিজ্ঞতা!

এটি নির্বোধ শোনাচ্ছে, কিন্তু আপনার কাছে কী আছে তা খুঁজে বের করার জন্য আপনার নিজের নেটওয়ার্ক স্ক্যান করা হল এমন কিছু যা আমরা আপনাকে নিয়মিতভাবে করার সুপারিশ করব।

কিন্তু অবশ্যই, যখন আপনি এই ধরনের বুলেটিন সম্পর্কে শুনবেন, যদি এটি এমন একটি পণ্য হয় যা আপনি জানেন যে আপনি অতীতে ব্যবহার করেছেন, যেমন মাইক্রোসফ্ট এক্সচেঞ্জ, এটি অভ্যন্তরীণ চালানোর জন্য একটি ভাল সময় Nmap স্ক্যান...

…এবং সম্ভবত লগ ইন করুন shodan.io এবং আপনার বাহ্যিক পরিষেবাগুলি পরীক্ষা করুন, শুধু নিশ্চিত হতে যে সমস্ত জিনিস বন্ধ হয়ে গেছে।

---

হাঁস.  আমরা এখন মাইক্রোসফ্টের নিজস্ব প্রতিক্রিয়া থেকে জানি যে তারা প্যাচগুলি বের করার জন্য উন্মত্তভাবে দূরে সরে যাচ্ছে।

যখন এই প্যাচগুলি উপস্থিত হয়, তখন আপনি সেগুলিকে বেশ আনন্দদায়কভাবে প্রয়োগ করবেন, তাই না?

কারণ যদি কোনো প্যাচ কখনো বিপরীত প্রকৌশল জন্য লক্ষ্য করা যাচ্ছে শোষণ বের করার জন্য, এটা এই ধরনের কিছু হতে যাচ্ছে.

---

CHET.  হ্যাঁ, একেবারে, হাঁস!

এমনকি একবার আপনি প্যাচ, সময় একটি উইন্ডো হতে যাচ্ছে, তাই না?

আমি বলতে চাচ্ছি, সাধারণত Microsoft, প্যাচ মঙ্গলবারের জন্য যাইহোক, প্যাসিফিক সময় সকাল 10.00 এ তাদের প্যাচগুলি প্রকাশ করে।

এই মুহুর্তে আমরা দিবালোকের সময় রয়েছি, তাই এটি ইউটিসি-7… তাই, প্রায় 17:00 ইউটিসি সাধারণত যখন মাইক্রোসফ্ট প্যাচগুলি প্রকাশ করে, যাতে তাদের বেশিরভাগ কর্মীদের সিয়াটেলে আগত প্রশ্নের উত্তর দেওয়ার জন্য পুরো দিন থাকে। [মাইক্রোসফ্ট সদর দপ্তর বেলভিউ, সিয়াটেল, WA-তে রয়েছে।]

এখানে মূল বিষয় হল এটি ঘটতে শুরু করার আগে এটিকে কাজে লাগানো কতটা সহজ তার উপর নির্ভর করে ঘন্টার, সম্ভবত মিনিটের একটি "রেস" আছে।

এবং আবার, ProxyShell এবং ProxyLogon এর সাথে সেই আগের এক্সচেঞ্জ শোষণে ফিরে যাওয়া, আমরা প্রায়শই দেখতে পেলাম যে এমনকি গ্রাহকরা যারা তিন, চার, পাঁচ দিনের মধ্যে প্যাচ করেছিলেন...

…যেটি সত্যি বলতে, একটি এক্সচেঞ্জ সার্ভারের জন্য কিছুটা দ্রুত, সেগুলি প্যাচ করা খুব কঠিন, আপনার ইমেল সার্ভারগুলিকে ব্যাহত করার আগে এটি নির্ভরযোগ্য কিনা তা নিশ্চিত করার জন্য প্রচুর পরীক্ষা-নিরীক্ষা জড়িত।

যে সার্ভার পেতে যথেষ্ট সময় ছিল webshells, cryptominers, সব ধরনের backdoors তাদের উপর ইনস্টল করা হয়।

এবং তাই, যখন অফিসিয়াল প্যাচ আউট হয়ে যায়, তখন শুধু আপনাকে দ্রুত কাজ করতে হবে না...

…*আপনি কাজ করার পর*, প্যাচটি উপলব্ধ হওয়ার সময় এবং আপনি এটি প্রয়োগ করতে সক্ষম হওয়ার মধ্যবর্তী ব্যবধানে হয়ত আক্রমণ করা হয়েছে বলে প্রমাণের জন্য ফিরে যাওয়া এবং সেই সিস্টেমগুলিকে পুঙ্খানুপুঙ্খভাবে পরীক্ষা করা ভাল।

আমি নিশ্চিত ন্যাকেড সিকিউরিটি এবং এর উপর প্রচুর কথোপকথন হবে Twitter এবং অন্যান্য জায়গায়, আমরা যে ধরনের আক্রমণ দেখছি সে সম্পর্কে কথা বলা যাতে আপনি জানতে পারেন কী খুঁজতে হবে।

---

হাঁস.  যখন আপনি যেতে পারেন এবং পরিচিত ম্যালওয়ারের একগুচ্ছ হ্যাশের সন্ধান করতে পারেন যা ইতিমধ্যেই সীমিত সংখ্যক আক্রমণে বিতরণ করা হয়েছে…

…সত্যিই, নীচের লাইন হল যে সমস্ত ধরণের ম্যালওয়্যার সম্ভাবনা।

এবং তাই, আমি মনে করি আপনি বলেন শেষ মিনি-পর্ব আমরা যা করেছি, আপনার ড্যাশবোর্ডে পপ হওয়ার জন্য ঘটে যাওয়া খারাপ কিছুর সতর্কতার জন্য অপেক্ষা করা আর যথেষ্ট নয়:

আপনাকে সক্রিয়ভাবে বাইরে যেতে হবে এবং দেখতে হবে, যদি বদমাশরা ইতিমধ্যেই আপনার নেটওয়ার্কে আছে এবং তারা এমন কিছু রেখে গেছে (যা যুগ যুগ ধরে থাকতে পারে!) যা আপনি এখনও লক্ষ্য করেননি।

---

CHET.  তাই আমি মনে করি এটি আমাদের দিকে নিয়ে যায়, "আমরা এখন কী করব, যখন আমরা প্যাচের জন্য অপেক্ষা করছি?"

মাইক্রোসফ্ট সিকিউরিটি রিসার্চ সেন্টার (MSRC) ব্লগ প্রকাশ করেছে কিছু প্রশমন উপদেশ এবং বিস্তারিত... মাইক্রোসফ্ট এই সময়ে প্রকাশ করতে ইচ্ছুক।

আমি বলব, তুমি যদি খাঁটি হও মাইক্রোসফ্ট এক্সচেঞ্জ অনলাইন গ্রাহক, আপনি বেশ পরিষ্কার এবং কিছু পরিবর্তনের ক্ষেত্রে আপনার মনোযোগ দেওয়া উচিত।

কিন্তু যদি আপনি একটি হাইব্রিড পরিস্থিতিতে থাকেন, অথবা আপনি এখনও মাইক্রোসফট এক্সচেঞ্জ অন-প্রিমিসে চালাচ্ছেন, আমি মনে করি সম্ভবত এমন কিছু কাজ আছে যা আজ বিকেলে বা আগামীকাল সকালে করার জন্য উপযুক্ত।

অবশ্যই, রেকর্ডিংয়ের সময়, এটি শুক্রবারের বিকেল… তাই, সত্যিই, আপনি যখন এটি শুনছেন, "অবিলম্বে, যখনই আপনি এটি শুনছেন, যদি আপনি এটি ইতিমধ্যে না করে থাকেন।"

এখানে সেরা অনুশীলন কি, হাঁস?

স্পষ্টতই, একটি প্যাচ উপলব্ধ না হওয়া পর্যন্ত আপনি কেবলমাত্র বাহ্যিক ওয়েব অ্যাক্সেস বন্ধ করতে পারেন।

আপনি শুধু আপনার IIS সার্ভার বন্ধ করতে পারেন এবং তারপর এটি করতে হবে!

---

হাঁস.  আমি সন্দেহ করি যে অনেক কোম্পানি সেই অবস্থানে থাকবে না।

এবং মাইক্রোসফ্ট দুটি জিনিস তালিকাভুক্ত করে যা তারা বলে… ভাল, তারা বলে না, "এটি অবশ্যই কাজ করবে।"

তারা পরামর্শ দেয় যে এটি আপনার ঝুঁকিকে ব্যাপকভাবে সীমিত করবে।

একটি হল যে একটি URL পুনর্লিখনের নিয়ম রয়েছে যা আপনি আপনার IIS সার্ভারে প্রয়োগ করতে পারেন। (আমার বোধগম্য হল যে এটি আইআইএস যা ইনকামিং সংযোগ গ্রহণ করে যা এক্সচেঞ্জ ওয়েব সার্ভিসেস [EWS] অ্যাক্সেসে পরিণত হয়।)

তাই এমন একটি আইআইএস সেটিং আছে যা আপনি তৈরি করতে পারেন যা প্রথম গর্তের সম্ভাব্য শোষণের সন্ধান করবে, যা পাওয়ারশেল ট্রিগারিং শুরু হতে বাধা দেবে।

এবং কিছু TCP পোর্ট আছে যা আপনি আপনার এক্সচেঞ্জ সার্ভারে ব্লক করতে পারেন।

আমি বিশ্বাস করি এটি পোর্ট 5985 এবং 5986, যা যা বলা হয় তা বন্ধ করবে পাওয়ারশেল রিমোটিং… এটি এই দুর্বৃত্ত PowerShell রিমোট এক্সিকিউশন কমান্ডগুলিকে এক্সচেঞ্জ সার্ভারে পোক করা বন্ধ করবে।

নোট করুন, তবে, মাইক্রোসফ্ট বলে যে এটি আপনার এক্সপোজারকে "সীমিত" করবে, প্রতিশ্রুতি দেওয়ার পরিবর্তে যে তারা জানে যে এটি সবকিছু ঠিক করে।

এবং এটি হতে পারে কারণ তারা সন্দেহ করে যে এটিকে ট্রিগার করা যেতে পারে এমন অন্যান্য উপায় রয়েছে, কিন্তু তারা এখনও ঠিক কী তা বুঝতে পারেনি। [হাসি]

উভয় সেটিং এমন কিছু নয় যা আপনি এক্সচেঞ্জে করেন।

তাদের মধ্যে একটি আইআইএস-এ রয়েছে এবং অন্যটি নেটওয়ার্ক ফিল্টারিংয়ের নিয়ম।

---

CHET.  ঠিক আছে, মাইক্রোসফ্ট আমাদের একটি স্থায়ী সমাধান দেওয়ার সময় এটি পরবর্তী কয়েক দিনের মধ্যে আমাদের পেতে সহায়ক।

ভাল খবর হল যে আমি মনে করি অনেকগুলি নিরাপত্তা সফ্টওয়্যার, সেটি এমন একটি আইপিএস যা আপনার ফায়ারওয়ালে একত্রিত হতে পারে, বা আপনার মাইক্রোসফ্ট উইন্ডোজ সার্ভারের অবকাঠামো রক্ষা করে এমন এন্ডপয়েন্ট সিকিউরিটি পণ্য...

…এর জন্য আক্রমণগুলি, অনেক ক্ষেত্রে (অন্তত প্রাথমিক রিপোর্টগুলি), দেখতে অনেকটা ProxyLogon-এর মতো, এবং ফলস্বরূপ, বিদ্যমান নিয়মগুলি এই আক্রমণগুলির বিরুদ্ধে রক্ষা করবে কিনা তা স্পষ্ট নয়৷

তারা হতে পারে, কিন্তু তা ছাড়াও, বেশিরভাগ বিক্রেতারা তাদের কিছুটা আঁটসাঁট করার চেষ্টা করছেন বলে মনে হচ্ছে, তারা নিশ্চিত করার জন্য যে তারা যতটা সম্ভব প্রস্তুত, বর্তমানে সর্বজনীনভাবে শেয়ার করা সমস্ত সূচকের উপর ভিত্তি করে, তাই তারা সনাক্ত করবে এবং এগুলো আপনার এক্সচেঞ্জ সার্ভারে ঘটতে থাকলে আপনাকে সতর্কতা পাঠান।

---

হাঁস.  এটা ঠিক, চেস্টার.

এবং Sophos গ্রাহকদের জন্য ভাল খবর হল যে আপনি Sophos-নির্দিষ্ট সনাক্তকরণ ট্র্যাক করতে পারেন যদি আপনি যেতে চান এবং আপনার লগগুলি দেখতে চান।

শুধু আইপিএসের জন্য নয়, সেটি ফায়ারওয়ালের আইপিএস হোক বা এন্ডপয়েন্ট, তবে আমাদের বেশ কিছু আচরণগত নিয়মও রয়েছে।

আপনি যদি তাদের সন্ধান করতে চান তবে আপনি সেই সনাক্তকরণের নামগুলি ট্র্যাক করতে পারেন… এটি অনুসরণ করুন @SophosXops টুইটার ফিড.

যেহেতু আমরা নতুন সনাক্তকরণের নাম পেয়েছি যা আপনি হুমকি শিকারের জন্য ব্যবহার করতে পারেন, আমরা সেগুলিকে সেখানে প্রকাশ করছি যাতে আপনি সেগুলি সহজেই দেখতে পারেন:

Sophos X-Ops নিম্নলিখিত সনাক্তকরণ যোগ করেছে:

Troj/WebShel-EC এবং Troj/WebShel-ED আক্রমণে আলোচিত ওয়েবশেল সনাক্ত করে।

IPS স্বাক্ষর sid:2307757 Sophos XG ফায়ারওয়ালের পাশাপাশি Sophos Endpoint IPS উভয়ের জন্য Microsoft দ্বারা প্রকাশিত তথ্যের উপর ভিত্তি করে।

— Sophos X-Ops (@SophosXOps) সেপ্টেম্বর 30, 2022

---

CHET.  আমি নিশ্চিত যে আগামী সপ্তাহের পডকাস্টে আমাদের আরও কিছু বলার আছে, ডগ আপনার সাথে আবার যোগ দিচ্ছেন কিনা বা আমি আবার অতিথির আসনে আছি কিনা।

তবে আমি বেশ আত্মবিশ্বাসী যে আমরা এখন এটিকে বেশ কিছুদিনের জন্য বিছানায় রাখতে সক্ষম হব না….

---

হাঁস.  আমি মনে করি, ProxyShell এর মতো, Log4Shell এর মতো, বেশ কিছু সময়ের জন্য একটি প্রতিধ্বনি প্রতিধ্বনিত হতে চলেছে।

তাই সম্ভবত আমরা ভাল বলতে চাই, যেমন আমরা সবসময় করি, চেস্টার:

পরবর্তী সময় পর্যন্ত ...

---

উভয়।  সুরক্ষিত থাকুন।

[মিউজিক্যাল মডেম]