এটি প্যাচ মঙ্গলবার সপ্তাহ (যদি আপনি আমাদের প্রতিদিনের প্লোনাজমের অনুমতি দেন), এবং মাইক্রোসফ্টের আপডেটে কোম্পানিটি ডাব করা বেশ কয়েকটি সুরক্ষা গর্তের সমাধান অন্তর্ভুক্ত করে সংকটপূর্ণ, একটি শূন্য-দিনের ফিক্স সহ, যদিও 0-দিন শুধুমাত্র একটি রেটিং পায় গুরুত্বপূর্ণ.
0-দিন সম্ভবত সমালোচনামূলক না হওয়া থেকে দূরে চলে গেছে কারণ এটি একটি আউটরাইট রিমোট কোড এক্সিকিউশন (RCE) হোল নয়, যার অর্থ এটি এমন কেউ ব্যবহার করতে পারে না যে ইতিমধ্যে আপনার কম্পিউটারে হ্যাক করেনি।
যে এক জন্য CVE-2023-28252, এলিভেশন অফ প্রিভিলেজ (EoP) বাগ উইন্ডোজ কমন লগ ফাইল সিস্টেম ড্রাইভার.
উইন্ডোজ ইওপি বাগগুলির সমস্যা, বিশেষ করে প্রতিটি উইন্ডোজ কম্পিউটারে ডিফল্টরূপে ইনস্টল করা ড্রাইভারগুলিতে, তারা প্রায় সবসময় আক্রমণকারীদের অল্প বা কোন উল্লেখযোগ্য অ্যাক্সেসের সুবিধা দিয়ে সরাসরি তাদের প্রচার করার অনুমতি দেয়। SYSTEM
অ্যাকাউন্ট, তাদের আপনার কম্পিউটারের উপর যতটা ভালো-সামগ্রিক নিয়ন্ত্রণ দেয়।
হিসাবে চলমান প্রোগ্রাম SYSTEM
সাধারণত: কার্নেল ড্রাইভার লোড এবং আনলোড করতে পারে; সিস্টেম পরিষেবাগুলি ইনস্টল, বন্ধ এবং শুরু করুন; কম্পিউটারে বেশিরভাগ ফাইল পড়ুন এবং লিখুন; বিদ্যমান অ্যাক্সেস সুবিধাগুলি পরিবর্তন করুন; অন্যান্য প্রোগ্রাম চালান বা মেরে ফেলুন; অন্যান্য প্রোগ্রাম গুপ্তচর; রেজিস্ট্রির নিরাপদ অংশগুলির সাথে জগাখিচুড়ি; এবং আরো অনেক কিছু.
হাস্যকরভাবে, কমন লগ ফাইল সিস্টেম (CLFS) অফিসিয়াল সিস্টেম-স্তরের রেকর্ড রাখার ক্ষেত্রে অর্ডার, নির্ভুলতা, ধারাবাহিকতা এবং নিরাপত্তা নিশ্চিত করার জন্য কম্পিউটারে যেকোনো পরিষেবা বা অ্যাপের পক্ষ থেকে অফিসিয়াল লগিং অনুরোধগুলি গ্রহণ এবং পরিচালনা করার জন্য ডিজাইন করা হয়েছে।
দুটি উচ্চ-স্কোরিং সমালোচনামূলক গর্ত
বিশেষ করে দুটি সমালোচনামূলক বাগ আমাদের আগ্রহ কেড়ে নিয়েছে।
প্রথম এক হল জন্য CVE-2023-21554, একটি RCE গর্ত মাইক্রোসফট মেসেজ কিউ সিস্টেম, বা MSMQ, একটি উপাদান যা প্রোগ্রামগুলির জন্য নির্ভরযোগ্যভাবে যোগাযোগের জন্য একটি ব্যর্থ নিরাপদ উপায় প্রদান করে, তাদের মধ্যে কোন ধরণের নেটওয়ার্ক সংযোগ বিদ্যমান থাকুক না কেন।
MSMQ পরিষেবাটি ডিফল্টরূপে চালু থাকে না, তবে উচ্চ-নির্ভরযোগ্য ব্যাক-এন্ড সিস্টেমে যেখানে নিয়মিত TCP বা UDP নেটওয়ার্ক বার্তাগুলিকে যথেষ্ট শক্তিশালী বলে মনে করা হয় না, আপনি MSMQ সক্ষম থাকতে পারেন।
(মাইক্রোসফটের নিজের উদাহরণ এমএসএমকিউ থেকে উপকৃত হতে পারে এমন অ্যাপ্লিকেশনগুলির মধ্যে রয়েছে ই-কমার্স প্ল্যাটফর্মে আর্থিক প্রক্রিয়াকরণ পরিষেবা এবং বিমানবন্দরের ব্যাগেজ হ্যান্ডলিং সিস্টেম।)
দুর্ভাগ্যবশত, যদিও এই বাগটি বন্য নয়, এটি 9.8/10 এর একটি CVSS "বিপদ স্কোর" এবং ক্রিটিক্যাল রেটিং পেয়েছে।
মাইক্রোসফটের দুই-বাক্যের বাগ বিবরণ সহজভাবে বলে:
এই দুর্বলতা কাজে লাগাতে, একজন আক্রমণকারীকে একটি MSMQ সার্ভারে একটি বিশেষভাবে তৈরি করা দূষিত MSMQ প্যাকেট পাঠাতে হবে। এর ফলে সার্ভার সাইডে রিমোট কোড এক্সিকিউশন হতে পারে।
উচ্চ CVSS স্কোরের উপর ভিত্তি করে এবং Microsoft উপরের বিবরণে যা উল্লেখ করেনি, আমরা ধরে নিচ্ছি যে আক্রমণকারীরা এই ছিদ্রটি ব্যবহার করে তাদের লগ ইন করার প্রয়োজন হবে না বা প্রথমে কোনো প্রমাণীকরণ প্রক্রিয়ার মধ্য দিয়ে যেতে হবে।
DHCP বিপদ
দ্বিতীয় ক্রিটিক্যাল বাগ যা আমাদের নজর কেড়েছে জন্য CVE-2023-28231, মাইক্রোসফট একটি RCE গর্ত DHCP সার্ভার পরিষেবা.
DHCP এর জন্য সংক্ষিপ্ত ডাইনামিক হোস্ট কনফিগারেশন প্রোটোকল, এবং এটি নেটওয়ার্কের সাথে সংযোগকারী কম্পিউটারগুলিতে নেটওয়ার্ক ঠিকানা (IP নম্বর) হস্তান্তর করতে প্রায় সমস্ত উইন্ডোজ নেটওয়ার্কে ব্যবহৃত হয়।
এটি দু'জন ব্যবহারকারীকে দুর্ঘটনাক্রমে একই আইপি নম্বর ব্যবহার করার চেষ্টা করা থেকে (যা তাদের নেটওয়ার্ক প্যাকেটগুলি একে অপরের সাথে সংঘর্ষের কারণ হতে পারে) প্রতিরোধ করতে সাহায্য করে, সেইসাথে কোন ডিভাইসগুলি যে কোনও সময় সংযুক্ত রয়েছে তা ট্র্যাক রাখতে সহায়তা করে৷
সাধারণত, DHCP সার্ভারে দূরবর্তী কোড এক্সিকিউশন বাগগুলি অতি-বিপজ্জনক, যদিও DHCP সার্ভারগুলি সাধারণত শুধুমাত্র স্থানীয় নেটওয়ার্কে কাজ করে, ইন্টারনেট জুড়ে নয়।
কারণ DHCP এর "কনফিগারেশন ডান্স" এর অংশ হিসাবে নেটওয়ার্ক প্যাকেটগুলি বিনিময় করার জন্য ডিজাইন করা হয়েছে, শুধুমাত্র আপনি একটি পাসওয়ার্ড দেওয়ার আগে বা আপনি একটি ব্যবহারকারীর নাম দেওয়ার আগে নয়, বরং আপনার কম্পিউটারকে অনলাইনে পাওয়ার প্রথম ধাপ হিসেবে নেটওয়ার্ক স্তরে।
অন্য কথায়, DHCP সার্ভারগুলিকে অজানা এবং অবিশ্বস্ত ডিভাইসগুলি থেকে প্যাকেটগুলি গ্রহণ করতে এবং উত্তর দেওয়ার জন্য যথেষ্ট শক্তিশালী হতে হবে, কেবলমাত্র আপনার নেটওয়ার্ককে এমন পর্যায়ে নিয়ে যাওয়ার জন্য যে এটি তাদের উপর কতটা বিশ্বাস রাখতে হবে তা নির্ধারণ করতে শুরু করতে পারে।
সৌভাগ্যবশত, যাইহোক, এই বিশেষ বাগটি উপরে উল্লিখিত MSMQ বাগ (এর CVSS বিপদের মাত্রা 8.8/10) থেকে কিছুটা কম স্কোর পায় কারণ এটি DHCP পরিষেবার একটি অংশে রয়েছে যা আপনি লগ ইন করার পরে শুধুমাত্র আপনার কম্পিউটার থেকে অ্যাক্সেসযোগ্য।
মাইক্রোসফটের ভাষায়:
একজন প্রমাণীকৃত আক্রমণকারী এই দুর্বলতাকে কাজে লাগানোর জন্য DHCP পরিষেবাতে একটি বিশেষভাবে তৈরি করা RPC কলের সুবিধা নিতে পারে।
এই দুর্বলতার সফল শোষণের জন্য একটি আক্রমণকারীকে আক্রমণ চালানোর আগে প্রথমে সীমাবদ্ধ নেটওয়ার্কে অ্যাক্সেস পেতে হবে।
যখন সিকিউর বুট শুধু বুট হয়
আমাদের কৌতূহল যে শেষ দুটি বাগ ছিল জন্য CVE-2023-28249 এবং জন্য CVE-2023-28269, উভয় শিরোনাম অধীনে তালিকাভুক্ত উইন্ডোজ বুট ম্যানেজার নিরাপত্তা বৈশিষ্ট্য বাইপাস দুর্বলতা.
মাইক্রোসফ্টের মতে:
একজন আক্রমণকারী যিনি সফলভাবে [এই দুর্বলতাগুলি] কাজে লাগিয়েছেন, অননুমোদিত কোড চালানোর জন্য সিকিউর বুটকে বাইপাস করতে পারে। সফল হওয়ার জন্য আক্রমণকারীর হয় শারীরিক অ্যাক্সেস বা প্রশাসকের বিশেষাধিকার প্রয়োজন।
হাস্যকরভাবে, অনেক-ভন্টেড সিকিউর বুট সিস্টেমের মূল উদ্দেশ্য হল যে এটি আপনাকে আপনার কম্পিউটারকে একটি কঠোর এবং অটল পথে রাখতে সাহায্য করবে বলে মনে করা হয় যখন আপনি এটিকে চালু করেন তখন থেকে উইন্ডোজ নিয়ন্ত্রণে নেয়।
প্রকৃতপক্ষে, সিকিউর বুট আক্রমণকারীদের থামাতে পারে যারা আপনার কম্পিউটার চুরি করে এমন কোনো বোবি-ট্র্যাপড কোড ইনজেক্ট করা থেকে শুরু করে যা প্রাথমিক স্টার্টআপ প্রক্রিয়াটিকেই পরিবর্তন বা বিকৃত করতে পারে, একটি কৌশল যা জার্গনে পরিচিত বুটকিট.
উদাহরণগুলির মধ্যে রয়েছে আপনার BitLocker ডিস্ক এনক্রিপশন আনলক কোড প্রবেশ করার সময় আপনি যে কীস্ট্রোকগুলি টাইপ করেন তা গোপনে লগ করা (যা ছাড়া Windows বুট করা অসম্ভব), অথবা সংশোধিত ডিস্ক সেক্টরগুলিকে বুটলোডার কোডে ফিড করা যা Windows কার্নেলে পড়ে যাতে এটি অনিরাপদভাবে শুরু হয়৷
এই ধরণের বিশ্বাসঘাতকতাকে প্রায়শই একটি "দুষ্ট ক্লিনার" আক্রমণ হিসাবে উল্লেখ করা হয়, এই দৃশ্যের উপর ভিত্তি করে যে আপনি বাইরে থাকার সময় আপনার হোটেল রুমে অফিসিয়াল অ্যাক্সেস সহ যে কেউ, যেমন একজন বিশ্বাসঘাতক ক্লিনার, অবাধে একটি বুটকিট ইনজেকশন করতে সক্ষম হতে পারে, উদাহরণস্বরূপ একটি USB ড্রাইভ থেকে সংক্ষিপ্তভাবে আপনার ল্যাপটপ শুরু করে এবং একটি স্বয়ংক্রিয় স্ক্রিপ্টকে নোংরা কাজ করতে দিয়ে…
…এবং তারপরে একই রকম দ্রুত এবং হ্যান্ডস-অফ ট্রিক ব্যবহার করুন পরের দিন কিস্ট্রোকের মতো চুরি হওয়া ডেটা পুনরুদ্ধার করতে এবং বুটকিটটি সেখানে ছিল এমন কোনো প্রমাণ মুছে ফেলুন।
অন্য কথায়, সিকিউর বুট বলতে বোঝানো হয়েছে একটি সঠিকভাবে এনক্রিপ্ট করা ল্যাপটপকে বিকৃত হওয়া থেকে সুরক্ষিত রাখার জন্য – এমনকি, বা বিশেষত, একজন সাইবার অপরাধীর দ্বারা যার এটিতে শারীরিক অ্যাক্সেস রয়েছে।
তাই যদি আমাদের প্রতিদিনের ব্যবহারের জন্য একটি উইন্ডোজ কম্পিউটার থাকে তবে আমরা এই বাগগুলিকে এমনভাবে প্যাচ করব যেন সেগুলি সমালোচনামূলক, যদিও মাইক্রোসফ্টের নিজস্ব রেটিং শুধুমাত্র গুরুত্বপূর্ণ।
কি করো?
- এখন প্যাচ. একটি শূন্য-দিন ইতিমধ্যেই অপরাধীদের দ্বারা শোষিত হচ্ছে, দুটি উচ্চ-সিভিএসএস-স্কোর ক্রিটিক্যাল বাগ যা দূরবর্তী ম্যালওয়্যার ইমপ্লান্টেশনের দিকে পরিচালিত করতে পারে এবং দুটি বাগ যা সিকিউর বুট থেকে সিকিউরকে সরিয়ে দিতে পারে, দেরি কেন? শুধু আজ এটা করতে!
- পর এটা SophosLabs রিপোর্ট যেটি এই মাসের প্যাচগুলিকে আরও বিস্তৃতভাবে দেখায়। উইন্ডোজ, ভিজ্যুয়াল স্টুডিও কোড, এসকিউএল সার্ভার, শেয়ারপয়েন্ট এবং অন্যান্য অনেক উপাদানে 97টি সিভিই সম্পূর্ণভাবে প্যাচ করা সহ, আরও অনেক বাগ রয়েছে যা সিস্যাডমিনদের জানা দরকার।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- উত্স: https://nakedsecurity.sophos.com/2023/04/12/microsoft-fixes-a-zero-day-and-two-curious-bugs-that-take-the-secure-out-of-secure-boot/
- : হয়
- $ ইউপি
- 1
- 8
- 9
- a
- সক্ষম
- সম্পর্কে
- উপরে
- পরম
- সমর্থন দিন
- প্রবেশ
- প্রবেশযোগ্য
- হিসাব
- দিয়ে
- ঠিকানাগুলি
- পর
- বিমানবন্দর
- সব
- ইতিমধ্যে
- যদিও
- সর্বদা
- এবং
- যে কেউ
- অ্যাপ্লিকেশন
- অ্যাপ্লিকেশন
- রয়েছি
- AS
- At
- আক্রমণ
- অনুমোদিত
- প্রমাণীকরণ
- লেখক
- গাড়ী
- স্বয়ংক্রিয়
- ব্যাক-এন্ড
- পটভূমি চিত্র
- ভিত্তি
- BE
- কারণ
- আগে
- হচ্ছে
- সুবিধা
- মধ্যে
- সীমান্ত
- পাদ
- সংক্ষেপে
- বিস্তৃতভাবে
- নম
- বাগ
- by
- কল
- CAN
- ধরা
- কারণ
- কেন্দ্র
- পরিবর্তন
- সংঘর্ষ
- কোড
- রঙ
- সাধারণ
- যোগাযোগ
- কোম্পানি
- উপাদান
- উপাদান
- কম্পিউটার
- কম্পিউটার
- কনফিগারেশন
- সংযোগ করা
- সংযুক্ত
- সংযোগ
- বিবেচিত
- নিয়ন্ত্রণ
- পারা
- আবরণ
- যুদ্ধাপরাধীদের
- সংকটপূর্ণ
- অদ্ভুত
- সাইবার অপরাধী
- দৈনিক
- বিপদ
- উপাত্ত
- দিন
- দিন-দিন
- সিদ্ধান্ত নিচ্ছে
- ডিফল্ট
- বিলম্ব
- বিবরণ
- পরিকল্পিত
- ডিভাইস
- সরাসরি
- প্রদর্শন
- ড্রাইভ
- ড্রাইভার
- ডাব
- ই-কমার্স
- প্রতি
- প্রচেষ্টা
- পারেন
- সক্ষম করা
- এনক্রিপশন
- যথেষ্ট
- নিশ্চিত করা
- বিশেষত
- এমন কি
- কখনো
- প্রতি
- প্রমান
- উদাহরণ
- বিনিময়
- ফাঁসি
- বিদ্যমান
- কাজে লাগান
- শোষণ
- শোষিত
- চোখ
- বৈশিষ্ট্য
- প্রতিপালন
- কয়েক
- ফাইল
- নথি পত্র
- আর্থিক
- প্রথম
- ঠিক করা
- জন্য
- থেকে
- লাভ করা
- সাধারণত
- পাওয়া
- পেয়ে
- দান
- গভীর ক্ষত
- হাত
- হ্যান্ডলিং
- আছে
- শিরোনাম
- উচ্চতা
- সাহায্য
- সাহায্য
- উচ্চ
- গর্ত
- গর্ত
- নিমন্ত্রণকর্তা
- হোটেল
- বাতাসে ভাসিতে থাকা
- কিভাবে
- যাহোক
- HTTPS দ্বারা
- গুরুত্বপূর্ণ
- অসম্ভব
- in
- অন্তর্ভুক্ত করা
- প্রারম্ভিক
- ইনস্টল
- ইনস্টল
- স্বার্থ
- Internet
- IP
- IT
- এর
- নিজেই
- অপভাষা
- JPG
- রাখা
- পালন
- বধ
- জানা
- পরিচিত
- ল্যাপটপ
- গত
- নেতৃত্ব
- লেট
- উচ্চতা
- লেভারেজ
- তালিকাভুক্ত
- বোঝা
- স্থানীয়
- সৌন্দর্য
- প্রধান
- ম্যালওয়্যার
- পরিচালনা করা
- পরিচালক
- অনেক
- মার্জিন
- সর্বোচ্চ প্রস্থ
- অর্থ
- নিছক
- বার্তা
- বার্তা
- মাইক্রোসফট
- হতে পারে
- পরিবর্তিত
- পরিবর্তন
- অধিক
- সেতু
- প্রয়োজন
- নেটওয়ার্ক
- নেটওয়ার্ক
- পরবর্তী
- সাধারণ
- সংখ্যা
- সংখ্যার
- of
- কর্মকর্তা
- on
- ONE
- অনলাইন
- ক্রম
- অন্যান্য
- নিজের
- প্যাকেট
- অংশ
- বিশেষ
- যন্ত্রাংশ
- পাসওয়ার্ড
- তালি
- প্যাচ মঙ্গলবার
- প্যাচ
- প্যাচিং
- পথ
- পল
- সম্ভবত
- শারীরিক
- প্ল্যাটফর্ম
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- প্রচুর
- বিন্দু
- অবস্থান
- পোস্ট
- স্পষ্টতা
- প্রতিরোধ
- বিশেষাধিকার
- সম্ভবত
- সমস্যা
- প্রক্রিয়া
- প্রক্রিয়াজাতকরণ
- প্রোগ্রাম
- উন্নীত করা
- প্রদান
- প্রদত্ত
- উদ্দেশ্য
- করা
- দ্রুত
- নির্ধারণ
- পড়া
- গৃহীত
- নথি
- উল্লেখ করা
- তথাপি
- রেজিস্ট্রি
- নিয়মিত
- দূরবর্তী
- অপসারণ
- রিপ্লাই
- অনুরোধ
- প্রয়োজন
- সীমাবদ্ধ
- ফল
- শক্তসমর্থ
- কক্ষ
- চালান
- দৌড়
- নিরাপদ
- একই
- বলেছেন
- দৃশ্যকল্প
- স্কোর
- দ্বিতীয়
- সেক্টর
- নিরাপদ
- নিরাপত্তা
- সার্ভারের
- সেবা
- সেবা
- সংক্ষিপ্ত
- পাশ
- গুরুত্বপূর্ণ
- একভাবে
- কেবল
- So
- কঠিন
- কেউ
- বিশেষত
- শুরু
- শুরু হচ্ছে
- শুরু
- প্রারম্ভকালে
- ধাপ
- অপহৃত
- থামুন
- যথাযথ
- চিত্রশালা
- সফল
- সফলভাবে
- এমন
- অনুমিত
- করা SVG
- পদ্ধতি
- সিস্টেম
- গ্রহণ করা
- লাগে
- যে
- সার্জারির
- তাদের
- তাহাদিগকে
- নিজেদের
- এইগুলো
- দ্বারা
- সময়
- থেকে
- শীর্ষ
- মোট
- পথ
- রূপান্তর
- স্বচ্ছ
- আস্থা
- মঙ্গলবার
- চালু
- পরিণত
- সাধারণত
- অধীনে
- আনলক
- অটুট
- আপডেট
- URL টি
- us
- ইউএসবি
- ব্যবহার
- ব্যবহারকারী
- দুর্বলতা
- দুর্বলতা
- উপায়..
- সপ্তাহান্তিক কাল
- আমরা একটি
- কি
- যে
- যখন
- হু
- প্রস্থ
- বন্য
- ইচ্ছা
- জানালা
- সঙ্গে
- ছাড়া
- শব্দ
- হয়া যাই ?
- would
- লেখা
- আপনি
- আপনার
- zephyrnet