ওয়েবের উইন্ডোজ মার্ক জিরো-ডেস প্যাচলেস থাকে, শোষণের অধীনে

উইন্ডোজের বিভিন্ন সংস্করণে দুটি পৃথক দুর্বলতা বিদ্যমান যা আক্রমণকারীদের মাইক্রোসফ্টের মার্ক অফ দ্য ওয়েব (MOTW) সুরক্ষা বৈশিষ্ট্যের আগে দূষিত সংযুক্তি এবং ফাইলগুলি লুকিয়ে রাখতে দেয়৷

কার্নেগি মেলন ইউনিভার্সিটির CERT কোঅর্ডিনেশন সেন্টার (CERT/CC) এর একজন প্রাক্তন সফ্টওয়্যার দুর্বলতা বিশ্লেষক উইল ডরম্যানের মতে, আক্রমণকারীরা উভয় সমস্যাকে সক্রিয়ভাবে কাজে লাগাচ্ছে, যিনি দুটি বাগ আবিষ্কার করেছিলেন। কিন্তু এখনও অবধি, মাইক্রোসফ্ট তাদের জন্য কোনও সংশোধন জারি করেনি, এবং সংস্থাগুলিকে নিজেদের রক্ষা করার জন্য কোনও পরিচিত ওয়ার্কঅ্যারাউন্ড উপলব্ধ নেই, গবেষক বলেছেন, যিনি তার ক্যারিয়ারে অসংখ্য শূন্য-দিনের দুর্বলতা আবিষ্কারের জন্য কৃতিত্ব পেয়েছেন।

অবিশ্বস্ত ফাইলগুলির জন্য MotW সুরক্ষা

MotW হল একটি উইন্ডোজ বৈশিষ্ট্য যা ব্যবহারকারীদেরকে অবিশ্বস্ত উৎস থেকে ফাইল থেকে রক্ষা করার জন্য ডিজাইন করা হয়েছে। চিহ্ন নিজেই হয় একটি লুকানো ট্যাগ যা উইন্ডোজ সংযুক্ত করে ইন্টারনেট থেকে ডাউনলোড করা ফাইলগুলিতে। MotW ট্যাগ বহনকারী ফাইলগুলি তারা কী করে এবং কীভাবে কাজ করে তাতে সীমাবদ্ধ। উদাহরণস্বরূপ, MS Office 10 দিয়ে শুরু করে, MotW- ট্যাগ করা ফাইলগুলি ডিফল্টরূপে সুরক্ষিত ভিউতে খোলা হয় এবং এক্সিকিউটেবলগুলিকে চালানোর অনুমতি দেওয়ার আগে উইন্ডোজ ডিফেন্ডার দ্বারা নিরাপত্তা সংক্রান্ত সমস্যাগুলির জন্য প্রথমে যাচাই করা হয়।

"অনেক উইন্ডোজ নিরাপত্তা বৈশিষ্ট্য — [যেমন] মাইক্রোসফট অফিস প্রোটেক্টেড ভিউ, স্মার্টস্ক্রিন, স্মার্ট অ্যাপ কন্ট্রোল, [এবং] সতর্কীকরণ ডায়ালগ - কাজ করার জন্য MotW-এর উপস্থিতির উপর নির্ভর করে," ডরম্যান, যিনি বর্তমানে অ্যানালাইজেন্সের একজন সিনিয়র দুর্বলতা বিশ্লেষক, ডার্ক রিডিং বলে।

বাগ 1: MotW .ZIP বাইপাস, অনানুষ্ঠানিক প্যাচ সহ

ডরম্যান 7 জুলাই মাইক্রোসফ্টকে দুটি MotW বাইপাস সমস্যার প্রথমটি রিপোর্ট করে। তার মতে, বিশেষভাবে তৈরি করা .ZIP ফাইলগুলি থেকে নেওয়া ফাইলগুলিতে Windows MotW প্রয়োগ করতে ব্যর্থ হয়।

".ZIP এর মধ্যে থাকা যেকোন ফাইলকে এমনভাবে কনফিগার করা যেতে পারে যাতে এটি বের করা হলে, এতে MOTW চিহ্ন থাকবে না," ডরম্যান বলেছেন। "এটি একজন আক্রমণকারীকে এমন একটি ফাইল রাখার অনুমতি দেয় যা এমনভাবে কাজ করবে যাতে মনে হয় যে এটি ইন্টারনেট থেকে আসেনি।" এটি তাদের জন্য ব্যবহারকারীদের তাদের সিস্টেমে নির্বিচারে কোড চালানোর জন্য প্রতারণা করা সহজ করে তোলে, ডরম্যান নোট।

ডরম্যান বলেছেন যে তিনি বাগটির বিশদ বিবরণ ভাগ করতে পারবেন না, কারণ এটি আক্রমণকারীরা কীভাবে ত্রুটিটি লাভ করতে পারে তা দেবে। তবে তিনি বলেছেন যে এটি XP থেকে উইন্ডোজের সমস্ত সংস্করণকে প্রভাবিত করে। তিনি বলেছেন যে একটি কারণ সম্ভবত তিনি মাইক্রোসফ্টের কাছ থেকে শুনেননি, কারণ CERT-এর ভালনারেবিলিটি ইনফরমেশন অ্যান্ড কোঅর্ডিনেশন এনভায়রনমেন্ট (VINCE), একটি প্ল্যাটফর্ম যেটি মাইক্রোসফ্ট ব্যবহার করতে অস্বীকার করেছে তার মাধ্যমে তাদের কাছে দুর্বলতার কথা জানানো হয়েছিল৷

“আমি জুলাইয়ের শেষের দিক থেকে CERT-এ কাজ করিনি, তাই আমি বলতে পারি না যে জুলাই থেকে Microsoft কোনোভাবে CERT-এর সাথে যোগাযোগ করার চেষ্টা করেছে কিনা,” তিনি সতর্ক করেছেন।

ডরম্যান বলেছেন যে অন্যান্য নিরাপত্তা গবেষকরা আক্রমণকারীদের সক্রিয়ভাবে ত্রুটিটি কাজে লাগাতে দেখেছেন। তাদের একজন নিরাপত্তা গবেষক কেভিন বিউমন্ট, মাইক্রোসফটের সাবেক হুমকি গোয়েন্দা বিশ্লেষক। এই মাসের শুরুর দিকে একটি টুইট থ্রেডে, বিউমন্ট এই ত্রুটিটিকে বন্য অঞ্চলে শোষিত করা হয়েছে বলে জানিয়েছেন।

"এটি একটি সন্দেহ ছাড়া বোবা শূন্য দিন আমি কাজ করেছি"বিউমন্ট বলেছেন।

একদিন পরে একটি পৃথক টুইটে, বিউমন্ট বলেছিলেন যে তিনি এই সমস্যার জন্য সনাক্তকরণ নির্দেশিকা প্রকাশ করতে চান তবে সম্ভাব্য ফলআউট সম্পর্কে উদ্বিগ্ন ছিলেন।

"যদি ইমোটেট/কাকবট/ইত্যাদি এটি খুঁজে পায় তবে তারা এটিকে 100% মাত্রায় ব্যবহার করবে," তিনি সতর্ক করেছিলেন।

মাইক্রোসফ্ট ডরম্যানের রিপোর্ট করা দুর্বলতার বিষয়ে মন্তব্য করার জন্য দুটি ডার্ক রিডিং অনুরোধে সাড়া দেয়নি বা তাদের সমাধান করার কোন পরিকল্পনা ছিল কিনা, তবে স্লোভেনিয়া ভিত্তিক নিরাপত্তা সংস্থা অ্যাক্রোস সিকিউরিটি গত সপ্তাহে একটি অনানুষ্ঠানিক প্যাচ মুক্তি এর 0 প্যাচ প্যাচিং প্ল্যাটফর্মের মাধ্যমে এই প্রথম দুর্বলতার জন্য।

ডার্ক রিডিং-এর মন্তব্যে, 0প্যাচ এবং অ্যাক্রোস সিকিউরিটির সিইও এবং সহ-প্রতিষ্ঠাতা মিটজা কোলসেক বলেছেন যে তিনি দুর্বলতা নিশ্চিত করতে সক্ষম হয়েছিলেন যা ডোরম্যান জুলাই মাসে মাইক্রোসফ্টকে রিপোর্ট করেছিল।

"হ্যাঁ, একবার আপনি এটি জানলে এটি হাস্যকরভাবে স্পষ্ট। সেজন্য আমরা বিস্তারিত কিছু জানাতে চাইনি,” তিনি বলেছেন। তিনি বলেছেন যে কোডটি জিপ ফাইলগুলি আনজিপ করার কাজ করছে তা ত্রুটিপূর্ণ এবং শুধুমাত্র একটি কোড প্যাচ এটি ঠিক করতে পারে। "কোন সমাধান নেই," কলসেক বলেছেন।

কলসেক বলেছেন যে সমস্যাটি কাজে লাগানো কঠিন নয়, তবে তিনি যোগ করেছেন শুধুমাত্র দুর্বলতা সফল আক্রমণের জন্য যথেষ্ট নয়। সফলভাবে কাজে লাগাতে, একজন আক্রমণকারীকে এখনও একজন ব্যবহারকারীকে দূষিতভাবে তৈরি করা .ZIP সংরক্ষণাগারে একটি ফাইল খুলতে রাজি করাতে হবে — এটি একটি ফিশিং ইমেলের মাধ্যমে সংযুক্তি হিসাবে পাঠানো বা উদাহরণস্বরূপ একটি USB স্টিক যেমন একটি অপসারণযোগ্য ড্রাইভ থেকে অনুলিপি করা হয়েছে৷

"সাধারণত, একটি .ZIP আর্কাইভ থেকে নিষ্কাশিত সমস্ত ফাইল যা MotW দ্বারা চিহ্নিত করা হয় সেগুলিও এই চিহ্নটি পাবে এবং তাই খোলা বা চালু করার সময় একটি নিরাপত্তা সতর্কতা ট্রিগার করবে," তিনি বলেছেন, কিন্তু দুর্বলতা অবশ্যই আক্রমণকারীদের সুরক্ষা বাইপাস করার একটি উপায় দেয়৷ "আমরা কোন প্রশমিত পরিস্থিতিতে সচেতন নই," তিনি যোগ করেন।

বাগ 2: দুর্নীতিগ্রস্ত প্রামাণিক কোড স্বাক্ষর সহ অতীত MotW লুকিয়ে রাখা

দ্বিতীয় দুর্বলতার মধ্যে রয়েছে MotW ট্যাগ করা ফাইলগুলি পরিচালনা করা যাতে অথেন্টিকোড ডিজিটাল স্বাক্ষর দুর্নীতিগ্রস্ত হয়। অথেনটিকোড একটি মাইক্রোসফ্ট কোড-সাইনিং প্রযুক্তি যা একটি নির্দিষ্ট সফ্টওয়্যারের প্রকাশকের পরিচয়কে প্রমাণীকরণ করে এবং এটি প্রকাশ করার পরে সফ্টওয়্যারটির সাথে টেম্পার করা হয়েছিল কিনা তা নির্ধারণ করে৷

ডোরম্যান বলেছেন যে তিনি আবিষ্কার করেছেন যে যদি একটি ফাইলে একটি ত্রুটিপূর্ণ প্রমাণীকোড স্বাক্ষর থাকে, তাহলে এটিকে উইন্ডোজ দ্বারা এমনভাবে বিবেচনা করা হবে যেন এতে কোন MotW নেই; দুর্বলতার কারণে উইন্ডোজ একটি জাভাস্ক্রিপ্ট ফাইল চালানোর আগে স্মার্টস্ক্রিন এবং অন্যান্য সতর্কতা ডায়ালগগুলি এড়িয়ে যায়।

ডোরম্যান বলেছেন, "উইন্ডোজ 'ফেল ওপেন' বলে মনে হয় যখন এটি একটি ত্রুটির সম্মুখীন হয় [যখন] অথেনটিকোড ডেটা প্রক্রিয়াকরণ করে," ডরম্যান বলেছেন, এবং "এটি আর MotW সুরক্ষা প্রয়োগ করবে না প্রমাণীকোড-স্বাক্ষরিত ফাইলগুলিতে, যদিও সেগুলি MotW বজায় রাখে।"

ডরম্যান এই সমস্যাটিকে উইন্ডোজ সার্ভার 10-এর সার্ভার ভেরিয়েন্ট সহ, সংস্করণ 2016 থেকে উইন্ডোজের প্রতিটি সংস্করণকে প্রভাবিত করে বলে বর্ণনা করেছেন। দুর্বলতা আক্রমণকারীদেরকে এমন যেকোন ফাইলে স্বাক্ষর করার একটি উপায় দেয় যা অথেনটিকোড দ্বারা দূষিত পদ্ধতিতে স্বাক্ষর করা যেতে পারে — যেমন .exe ফাইল এবং জাভাস্ক্রিপ্ট ফাইলগুলি — এবং এটিকে MOTW সুরক্ষার আগে লুকিয়ে রাখুন।

ডরম্যান বলেছেন যে তিনি এই মাসের শুরুতে একটি এইচপি থ্রেট রিসার্চ ব্লগ পড়ার পরে সমস্যাটি সম্পর্কে জানতে পেরেছেন ম্যাগনিবার র‍্যানসমওয়্যার প্রচারণা ত্রুটির জন্য একটি শোষণ জড়িত.

মাইক্রোসফ্ট পদক্ষেপ নিচ্ছে কিনা তা স্পষ্ট নয়, তবে আপাতত, গবেষকরা অ্যালার্ম বাড়াচ্ছেন। "আমি মাইক্রোসফ্টের কাছ থেকে একটি আনুষ্ঠানিক প্রতিক্রিয়া পাইনি, কিন্তু একই সময়ে, আমি আনুষ্ঠানিকভাবে Microsoft এর কাছে এই সমস্যাটি রিপোর্ট করিনি, কারণ আমি আর একজন CERT কর্মী নই," ডরম্যান বলেছেন৷ "আমি টুইটারের মাধ্যমে এটি প্রকাশ্যে ঘোষণা করেছি, বন্য অঞ্চলে আক্রমণকারীদের দ্বারা ব্যবহৃত দুর্বলতার কারণে।"