আক্রমণকারীরা যারা শিকারের নেটওয়ার্কে প্রাথমিক অ্যাক্সেস লাভ করে তাদের কাছে এখন তাদের নাগাল প্রসারিত করার আরেকটি পদ্ধতি রয়েছে: অন্যান্য Microsoft টিম ব্যবহারকারীদের কাছ থেকে অ্যাক্সেস টোকেন ব্যবহার করে সেই কর্মীদের ছদ্মবেশ ধারণ করতে এবং তাদের বিশ্বাসকে কাজে লাগাতে।
এটি সিকিউরিটি ফার্ম ভেক্ট্রার মতে, যা 13 সেপ্টেম্বর একটি অ্যাডভাইসরিতে বলেছে যে মাইক্রোসফ্ট টিমগুলি প্রমাণীকরণ টোকেনগুলিকে এনক্রিপ্ট ছাড়াই সঞ্চয় করে, যে কোনও ব্যবহারকারীকে বিশেষ অনুমতির প্রয়োজন ছাড়াই গোপনীয় ফাইল অ্যাক্সেস করতে দেয়৷ ফার্মের মতে, স্থানীয় বা দূরবর্তী সিস্টেম অ্যাক্সেস সহ একজন আক্রমণকারী বর্তমানে যেকোনো অনলাইন ব্যবহারকারীর শংসাপত্র চুরি করতে পারে এবং তাদের ছদ্মবেশ ধারণ করতে পারে, এমনকি তারা অফলাইনে থাকা অবস্থায়ও, এবং স্কাইপের মতো কোনো সংশ্লিষ্ট বৈশিষ্ট্যের মাধ্যমে ব্যবহারকারীর ছদ্মবেশ ধারণ করতে পারে এবং মাল্টিফ্যাক্টর প্রমাণীকরণ (বাইপাস মাল্টিফ্যাক্টর) এমএফএ)।
দুর্বলতা আক্রমণকারীদের একটি কোম্পানির নেটওয়ার্কের মধ্য দিয়ে আরও সহজে যাওয়ার ক্ষমতা দেয়, কনার পিপলস, ভেক্ট্রার নিরাপত্তা স্থপতি, ক্যালিফোর্নিয়া ভিত্তিক সাইবারসিকিউরিটি ফার্ম সান জোসে বলে।
"এটি ডেটা টেম্পারিং, বর্শা-ফিশিং, আইডেন্টিটি কম্প্রোমাইজ সহ একাধিক ধরণের আক্রমণকে সক্ষম করে এবং অ্যাক্সেসে প্রয়োগ করা সঠিক সোশ্যাল ইঞ্জিনিয়ারিং সহ ব্যবসায়িক বিঘ্ন ঘটাতে পারে," তিনি বলেছেন, আক্রমণকারীরা "একটি সংস্থার মধ্যে বৈধ যোগাযোগের সাথে হস্তক্ষেপ করতে পারে" বেছে বেছে ধ্বংস করে, উত্তেজিত করে, বা লক্ষ্যযুক্ত ফিশিং আক্রমণে জড়িত হয়ে।"
ভেক্ট্রা সমস্যাটি আবিষ্কার করেছিল যখন কোম্পানির গবেষকরা একটি ক্লায়েন্টের পক্ষে মাইক্রোসফ্ট টিম পরীক্ষা করে, নিষ্ক্রিয় ব্যবহারকারীদের মুছে ফেলার উপায় খুঁজছিলেন, এমন একটি ক্রিয়া যা টিম সাধারণত অনুমতি দেয় না। পরিবর্তে, গবেষকরা খুঁজে পেয়েছেন যে একটি ফাইল যা ক্লিয়ারটেক্সটে অ্যাক্সেস টোকেন সংরক্ষণ করে, যা তাদের API এর মাধ্যমে স্কাইপ এবং আউটলুকের সাথে সংযোগ করার ক্ষমতা দেয়। কারণ মাইক্রোসফ্ট টিম বিভিন্ন ধরনের পরিষেবা একত্র করে — সেই অ্যাপ্লিকেশনগুলি, শেয়ারপয়েন্ট এবং অন্যান্যগুলি সহ — যে সফ্টওয়্যারটির অ্যাক্সেস পেতে টোকেন প্রয়োজন, ভেক্ট্রা পরামর্শে বলা হয়েছে.
টোকেনগুলির সাহায্যে, একজন আক্রমণকারী শুধুমাত্র বর্তমানে অনলাইন ব্যবহারকারী হিসাবে যে কোনও পরিষেবাতে অ্যাক্সেস পেতে পারে না, তবে MFA বাইপাসও করতে পারে কারণ একটি বৈধ টোকেনের অস্তিত্ব সাধারণত ব্যবহারকারী একটি দ্বিতীয় ফ্যাক্টর প্রদান করেছে।
শেষ পর্যন্ত, আক্রমণের জন্য বিশেষ অনুমতি বা উন্নত ম্যালওয়্যারের প্রয়োজন হয় না যাতে আক্রমণকারীদের পর্যাপ্ত অ্যাক্সেস দেওয়া হয় যাতে একটি লক্ষ্যযুক্ত কোম্পানির জন্য অভ্যন্তরীণ অসুবিধা সৃষ্টি হয়, পরামর্শে বলা হয়েছে।
"পর্যাপ্ত আপোসকৃত মেশিনের সাথে, আক্রমণকারীরা একটি সংস্থার মধ্যে যোগাযোগ করতে পারে," সংস্থাটি পরামর্শে বলেছে। “গুরুত্বপূর্ণ আসনগুলির সম্পূর্ণ নিয়ন্ত্রণ ধরে নিয়ে — যেমন একটি কোম্পানির ইঞ্জিনিয়ারিং প্রধান, সিইও, বা সিএফও — আক্রমণকারীরা ব্যবহারকারীদের সংস্থার ক্ষতিকারক কাজগুলি করতে রাজি করাতে পারে৷ আপনি কীভাবে এটির জন্য ফিশ টেস্টিং অনুশীলন করবেন?"
মাইক্রোসফ্ট: কোন প্যাচের প্রয়োজন নেই
মাইক্রোসফ্ট সমস্যাগুলি স্বীকার করেছে কিন্তু বলেছে যে আক্রমণকারীর ইতিমধ্যেই লক্ষ্য নেটওয়ার্কে একটি সিস্টেমের সাথে আপোস করা দরকার তা হুমকির সৃষ্টি করেছে এবং প্যাচ না করা বেছে নিয়েছে।
ডার্ক রিডিং-এ পাঠানো এক বিবৃতিতে মাইক্রোসফটের একজন মুখপাত্র বলেছেন, "উল্লেখিত কৌশলটি তাৎক্ষণিক সার্ভিসিংয়ের জন্য আমাদের দণ্ড পূরণ করে না কারণ এটির জন্য আক্রমণকারীকে প্রথমে একটি টার্গেট নেটওয়ার্কে অ্যাক্সেস পেতে হয়।" "আমরা এই সমস্যাটি সনাক্তকরণ এবং দায়িত্বের সাথে প্রকাশ করার ক্ষেত্রে Vectra Protect-এর অংশীদারিত্বের প্রশংসা করি এবং ভবিষ্যতে পণ্য প্রকাশের বিষয়ে বিবেচনা করব।"
2019 সালে, ওপেন ওয়েব অ্যাপ্লিকেশন সিকিউরিটি প্রজেক্ট (OWASP) প্রকাশিত হয়েছে API নিরাপত্তা সমস্যাগুলির একটি শীর্ষ 10 তালিকা. বর্তমান সমস্যাটিকে ব্রোকেন ইউজার অথেন্টিকেশন বা সিকিউরিটি মিসকনফিগারেশন হিসেবে বিবেচনা করা যেতে পারে, তালিকার দ্বিতীয় এবং সপ্তম র্যাঙ্কিং সমস্যা।
"আমি এই দুর্বলতাটিকে প্রাথমিকভাবে পার্শ্বীয় আন্দোলনের আরেকটি উপায় হিসাবে দেখি - মূলত একটি মিমিকাটজ-টাইপ টুলের জন্য আরেকটি উপায়," জন ব্যামবেনেক বলেছেন, নেটেনরিচের প্রধান হুমকি শিকারী, একটি নিরাপত্তা অপারেশন এবং বিশ্লেষণ পরিষেবা প্রদানকারী৷
নিরাপত্তা দুর্বলতার একটি মূল কারণ হল মাইক্রোসফ্ট টিমস ইলেক্ট্রন অ্যাপ্লিকেশন ফ্রেমওয়ার্কের উপর ভিত্তি করে তৈরি, যা কোম্পানিগুলিকে জাভাস্ক্রিপ্ট, এইচটিএমএল এবং সিএসএস-এর উপর ভিত্তি করে সফ্টওয়্যার তৈরি করতে দেয়। কোম্পানিটি সেই প্ল্যাটফর্ম থেকে দূরে সরে যাওয়ার সাথে সাথে এটি দুর্বলতা দূর করতে সক্ষম হবে, ভেক্ট্রা'স পিপলস বলে।
"মাইক্রোসফ্ট প্রগতিশীল ওয়েব অ্যাপের দিকে অগ্রসর হওয়ার জন্য একটি শক্তিশালী প্রচেষ্টা করছে, যা বর্তমানে ইলেক্ট্রন দ্বারা আনা অনেক উদ্বেগকে প্রশমিত করবে," তিনি বলেছেন। "ইলেক্ট্রন অ্যাপটিকে পুনর্নির্মাণের পরিবর্তে, আমার অনুমান হল তারা ভবিষ্যতের রাজ্যে আরও সংস্থান নিবেদন করছে।"
Vectra কোম্পানিগুলিকে Microsoft Teams-এর ব্রাউজার-ভিত্তিক সংস্করণ ব্যবহার করার পরামর্শ দেয়, যাতে সমস্যাগুলির শোষণ রোধ করার জন্য যথেষ্ট নিরাপত্তা নিয়ন্ত্রণ রয়েছে। যে গ্রাহকদের ডেস্কটপ অ্যাপ্লিকেশনটি ব্যবহার করতে হবে তাদের উচিত "অফিসিয়াল টিম অ্যাপ্লিকেশন ব্যতীত অন্য কোনও প্রক্রিয়া দ্বারা অ্যাক্সেসের জন্য মূল অ্যাপ্লিকেশন ফাইলগুলি দেখতে হবে," ভেক্ট্রা পরামর্শে বলেছে।
