इस साल फरवरी की सटीक चार सप्ताह की अवधि के लिए धन्यवाद, पिछले महीने फ़ायरफ़ॉक्स और माइक्रोसॉफ्ट अपडेट का संयोग एक बार फिर हुआ है।
पिछले महीने, Microsoft ने निपटाया तीन शून्य-दिन, जिससे हमारा तात्पर्य उन सुरक्षा छेदों से है जो साइबर अपराधियों ने पहले खोजे, और यह पता लगाया कि किसी भी पैच के उपलब्ध होने से पहले वास्तविक जीवन के हमलों में कैसे दुरुपयोग किया जाए।
(नाम जीरो-डे, या केवल 0 दिन, इस तथ्य की याद दिलाता है कि हमारे बीच के सबसे प्रगतिशील और सक्रिय पैचर्स ने ठीक शून्य दिनों का आनंद लिया, जिसके दौरान हम बदमाशों से आगे हो सकते थे।)
मार्च 2023 में, दो शून्य-दिन सुधार हैं, एक में आउटलुक, और दूसरे में विंडोज स्मार्टस्क्रीन.
दिलचस्प रूप से एक बग के लिए जो जंगली में खोजा गया था, यद्यपि एक ने Microsoft द्वारा रिपोर्ट की गई थी शोषण का पता चला, आउटलुक दोष को संयुक्त रूप से श्रेय दिया जाता है सीईआरटी-यूए (यूक्रेनी कंप्यूटर इमरजेंसी रिस्पांस टीम), माइक्रोसॉफ्ट इंसीडेंट रिस्पांस और माइक्रोसॉफ्ट थ्रेट इंटेलिजेंस।
आप वह बना सकते हैं जो आप करेंगे।
आउटलुक ईओपी
यह बग, डब किया गया सीवीई-2023-23397: माइक्रोसॉफ्ट आउटलुक विशेषाधिकार भेद्यता की ऊंचाई (ईओपी), है वर्णित के रूप में इस प्रकार है:
एक हमलावर जिसने इस भेद्यता का सफलतापूर्वक शोषण किया, वह उपयोगकर्ता के नेट-एनटीएलएमवी2 हैश तक पहुंच सकता है, जिसे उपयोगकर्ता के रूप में प्रमाणित करने के लिए किसी अन्य सेवा के खिलाफ एनटीएलएम रिले हमले के आधार के रूप में इस्तेमाल किया जा सकता है। […]
हमलावर विशेष रूप से तैयार की गई ईमेल भेजकर इस भेद्यता का फायदा उठा सकता है जो आउटलुक क्लाइंट द्वारा पुनर्प्राप्त और संसाधित किए जाने पर स्वचालित रूप से ट्रिगर हो जाता है। पूर्वावलोकन फलक में ईमेल देखे जाने से पहले यह शोषण का कारण बन सकता है। […]
बाहरी हमलावर विशेष रूप से तैयार किए गए ईमेल भेज सकते हैं जो पीड़ित से हमलावरों के नियंत्रण के बाहरी यूएनसी स्थान पर कनेक्शन का कारण बनेंगे। यह पीड़ित के Net-NTLMv2 हैश को हमलावर को लीक कर देगा जो इसे दूसरी सेवा में रिले कर सकता है और पीड़ित के रूप में प्रमाणित कर सकता है।
समझाने के लिए (जहाँ तक हम अनुमान लगा सकते हैं, यह देखते हुए कि हमारे पास जाने के लिए हमले के बारे में कोई विवरण नहीं है)।
Net-NTLMv2 प्रमाणीकरण, जिसे हम संक्षेप में NTLM2 कहेंगे, मोटे तौर पर इस तरह काम करता है:
- आप जिस स्थान से जुड़ रहे हैं 8 से अधिक यादृच्छिक बाइट भेजता है ए के रूप में जाना जाता है चुनौती.
- आपका कंप्यूटर अपने स्वयं के 8 यादृच्छिक बाइट उत्पन्न करता है.
- आप दो चुनौती स्ट्रिंग्स के HMAC-MD5 कुंजी वाले हैश की गणना करें कुंजी के रूप में आपके पासवर्ड के मौजूदा सुरक्षित रूप से संग्रहीत हैश का उपयोग करना।
- आप कुंजीयुक्त हैश और अपनी 8-बाइट चुनौती भेजें.
- दूसरे छोर पर अब 8-बाइट की चुनौतियाँ और आपका एक बार का उत्तर दोनों हैं, इसलिए यह हो सकता है कीड हैश की पुनः गणना करें, और अपनी प्रतिक्रिया सत्यापित करें.
वास्तव में, इससे कहीं अधिक कुछ है, क्योंकि वास्तव में दो प्रमुख हैश हैं, एक दो 8-बाइट रैंडम-चैलेंज नंबरों में मिलाता है और दूसरा आपके उपयोगकर्ता नाम, डोमेन नाम और वर्तमान समय सहित अतिरिक्त डेटा में मिलाता है।
लेकिन अंतर्निहित सिद्धांत वही है।
न तो आपका वास्तविक पासवर्ड या आपके पासवर्ड का संग्रहीत हैश (उदाहरण के लिए सक्रिय निर्देशिका से) कभी प्रसारित होता है, इसलिए यह ट्रांज़िट में लीक नहीं हो सकता है।
इसके अलावा, दोनों पक्षों को हर बार अपने स्वयं के यादृच्छिकता के 8 बाइट्स इंजेक्ट करने के लिए मिलता है, जो किसी भी पार्टी को पिछले सत्र की तरह कुंजी वाले हैश के साथ समाप्त होने की उम्मीद में एक पुरानी चुनौती स्ट्रिंग का चुपके से पुन: उपयोग करने से रोकता है।
(समय में रैपिंग और अन्य लॉगऑन-विशिष्ट डेटा तथाकथित के खिलाफ अतिरिक्त सुरक्षा जोड़ता है फिर से खेलना हमलों, लेकिन हम यहां उन विवरणों पर ध्यान नहीं देंगे।)
बीच में बैठा है
जैसा कि आप कल्पना कर सकते हैं, यह देखते हुए कि हमलावर आपको उनके नकली सर्वर पर "लॉगऑन" करने की कोशिश में धोखा दे सकता है (या तो जब आप बूबी-ट्रैप्ड ईमेल पढ़ते हैं या इससे भी बदतर, जब आउटलुक आपकी ओर से इसे संसाधित करना शुरू करता है, इससे पहले कि आप एक प्राप्त करें यह कितना फर्जी लग सकता है इसकी झलक), आप एक एकल, मान्य NTLM2 प्रतिक्रिया को लीक कर देते हैं।
उस प्रतिक्रिया का उद्देश्य दूसरे छोर तक यह साबित करना है कि न केवल आप वास्तव में उस खाते का पासवर्ड जानते हैं जिसका आप दावा करते हैं कि वह आपका है, बल्कि यह भी (चुनौती डेटा मिश्रित होने के कारण) कि आप पिछले उत्तर का फिर से उपयोग नहीं कर रहे हैं .
इसलिए, जैसा कि Microsoft चेतावनी देता है, एक हमलावर जो चीजों को सही समय पर कर सकता है, वह आपके पासवर्ड या उसके हैश को जाने बिना, वास्तविक सर्वर से केवल 8-बाइट शुरू करने की चुनौती प्राप्त करने के लिए आपके जैसे वास्तविक सर्वर को प्रमाणित करना शुरू कर सकता है ...
…और फिर उस समय आपको वह चुनौती वापस दे दें जब आप उनके नकली सर्वर में लॉगिन करने का प्रयास कर रहे हों।
यदि आप कुंजी वाले हैश की गणना करते हैं और इसे अपने "प्रमाण के रूप में वापस भेजते हैं, तो मैं अभी अपना पासवर्ड जानता हूं", बदमाश सही ढंग से गणना किए गए उत्तर को वास्तविक सर्वर पर वापस भेजने में सक्षम हो सकते हैं, और इस प्रकार वे घुसपैठ करने की कोशिश कर रहे हैं उस सर्वर को धोखा देने के लिए उन्हें स्वीकार करने के लिए जैसे कि वे आप थे।
संक्षेप में, आप निश्चित रूप से इसके खिलाफ समझौता करना चाहते हैं, क्योंकि भले ही हमले के लिए बहुत प्रयास, समय और भाग्य की आवश्यकता हो, और इसके काम करने की बहुत संभावना नहीं है, हम पहले से ही जानते हैं कि यह एक मामला है "शोषण का पता चला".
दूसरे शब्दों में, हमले को काम करने के लिए बनाया जा सकता है, और कम से कम एक बार एक ऐसे शिकार के खिलाफ सफल हुआ है, जिसने स्वयं कुछ भी जोखिम भरा या गलत नहीं किया है।
स्मार्टस्क्रीन सुरक्षा बाईपास
दूसरा जीरो डे है CVE-2023-24880, और यह एक बहुत ज्यादा वर्णन करता है अपने आप: Windows स्मार्टस्क्रीन सुरक्षा सुविधा भेद्यता को बायपास करती है.
सीधे शब्दों में कहें, विंडोज़ आमतौर पर उन फाइलों को टैग करता है जो इंटरनेट के माध्यम से एक झंडे के साथ आती हैं, जो कहता है, “यह फाइल बाहर से आई है; बच्चे के दस्तानों के साथ इसका इलाज करें और इस पर बहुत ज्यादा भरोसा न करें।
यह जहां-यह-से आया-ध्वज को फ़ाइल के रूप में जाना जाता था इंटरनेट जोन पहचानकर्ता, और यह विंडोज को याद दिलाता है कि बाद में उपयोग किए जाने पर उस फ़ाइल की सामग्री में उसे कितना (या कितना कम) भरोसा करना चाहिए।
इन दिनों, जोन आईडी (इसके लायक क्या है, 3 की एक आईडी "इंटरनेट से") को आमतौर पर अधिक नाटकीय और यादगार नाम से संदर्भित किया जाता है वेब का निशानया, मोटिव छोटे के लिए।
तकनीकी रूप से, यह जोन आईडी फ़ाइल के साथ एक के रूप में जाना जाता है में संग्रहीत किया जाता है वैकल्पिक डेटा स्ट्रीमया, एडीएस, लेकिन फ़ाइलों में केवल ADS डेटा हो सकता है यदि वे NTFS-स्वरूपित विन्डोज़ डिस्क पर संग्रहीत हों। यदि आप किसी फ़ाइल को FAT वॉल्यूम में सहेजते हैं, उदाहरण के लिए, या इसे गैर-NTFS ड्राइव में कॉपी करते हैं, तो ज़ोन आईडी खो जाती है, इसलिए यह सुरक्षात्मक लेबल कुछ हद तक सीमित है।
इस बग का मतलब है कि कुछ फाइलें जो बाहर से आती हैं - उदाहरण के लिए, डाउनलोड या ईमेल अटैचमेंट - को सही MotW पहचानकर्ता के साथ टैग नहीं किया जाता है, इसलिए वे चुपके से Microsoft की आधिकारिक सुरक्षा जांच को दरकिनार कर देते हैं।
माइक्रोसॉफ्ट के सार्वजनिक बुलेटिन यह नहीं बताता है कि वास्तव में किस प्रकार की फ़ाइल (चित्र? कार्यालय दस्तावेज़? PDF? सभी?) इस तरह से आपके नेटवर्क में घुसपैठ की जा सकती है, लेकिन यह बहुत व्यापक रूप से चेतावनी देता है कि "सुरक्षा सुविधाएँ जैसे Microsoft Office में संरक्षित दृश्य" इस ट्रिक से बायपास किया जा सकता है।
हम इसका अनुमान लगा रहे हैं कि दुर्भावनापूर्ण फ़ाइलें जो आमतौर पर हानिरहित प्रदान की जाती हैं, उदाहरण के लिए अंतर्निहित मैक्रो कोड को दबाने से, देखे जाने या खोले जाने पर अप्रत्याशित रूप से जीवन में आने में सक्षम हो सकती हैं।
एक बार फिर, अपडेट आपको हमलावरों के बराबर वापस लाएगा, इसलिए देर न करें/इसे आज ही पैच कर दें.
क्या करना है?
- जितनी जल्दी हो सके पैच करें, जैसा कि हमने अभी ऊपर कहा।
- पूर्ण पढ़ें सोफोसलैब्स विश्लेषण इनमें से बग और 70 से अधिक पैच, यदि आप अभी भी आश्वस्त नहीं हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/
- :है
- $यूपी
- 1
- 2023
- 70
- 8
- a
- योग्य
- About
- ऊपर
- पूर्ण
- गाली
- पहुँच
- लेखा
- सक्रिय
- वास्तव में
- अतिरिक्त
- जोड़ता है
- विज्ञापन
- के खिलाफ
- आगे
- सब
- पहले ही
- बीच में
- और
- अन्य
- जवाब
- हैं
- AS
- At
- आक्रमण
- आक्रमण
- प्रमाणित
- प्रमाणीकरण
- लेखक
- स्वत:
- स्वतः
- उपलब्ध
- वापस
- पृष्ठभूमि छवि
- आधार
- BE
- क्योंकि
- से पहले
- बिट
- सीमा
- दोनों पक्षों
- तल
- लाना
- मोटे तौर पर
- दोष
- कीड़े
- में निर्मित
- by
- कॉल
- कर सकते हैं
- मामला
- कारण
- केंद्र
- चुनौती
- चुनौतियों
- जाँचता
- दावा
- ग्राहक
- कोड
- संयोग
- रंग
- कैसे
- गणना करना
- कंप्यूटर
- कनेक्ट कर रहा है
- संबंध
- सामग्री
- नियंत्रण
- सका
- आवरण
- वर्तमान
- साइबर अपराधी
- तिथि
- दिन
- निश्चित रूप से
- विवरण
- डीआईडी
- की खोज
- डिस्प्ले
- दस्तावेजों
- नहीं करता है
- डोमेन
- डोमेन नाम
- dont
- डाउनलोड
- नाटकीय
- ड्राइव
- करार दिया
- दौरान
- भी
- ईमेल
- ईमेल
- आपात स्थिति
- और भी
- कभी
- प्रत्येक
- ठीक ठीक
- उदाहरण
- मौजूदा
- समझाना
- शोषण करना
- शोषण
- शोषित
- बाहरी
- अतिरिक्त
- निष्पक्ष
- उल्लू बनाना
- वसा
- Feature
- विशेषताएं
- फरवरी
- लगा
- पट्टिका
- फ़ाइलें
- Firefox
- प्रथम
- दोष
- इस प्रकार है
- के लिए
- पाया
- से
- पूर्ण
- मिल
- दी
- झलक
- Go
- हुआ
- हैश
- है
- होने
- ऊंचाई
- यहाँ उत्पन्न करें
- छेद
- आशा
- मंडराना
- कैसे
- How To
- HTTPS
- i
- ID
- पहचानकर्ता
- छवियों
- in
- घटना
- घटना की प्रतिक्रिया
- सहित
- बुद्धि
- इंटरनेट
- IT
- आईटी इस
- खुद
- कुंजी
- बच्चा
- जानना
- ज्ञान
- जानने वाला
- लेबल
- पिछली बार
- नेतृत्व
- रिसाव
- लंबाई
- जीवन
- पसंद
- संभावित
- सीमित
- थोड़ा
- स्थान
- देखिए
- भाग्य
- मैक्रो
- बनाया गया
- बनाना
- मार्च
- हाशिया
- अधिकतम-चौड़ाई
- साधन
- माइक्रोसॉफ्ट
- हो सकता है
- मिश्रित
- मिश्रण
- पल
- महीना
- अधिक
- अधिकांश
- मोटव
- नाम
- नेटवर्क
- साधारण
- संख्या
- of
- Office
- सरकारी
- पुराना
- on
- ONE
- खोला
- अन्य
- आउटलुक
- बाहर
- अपना
- फलक
- पार्टी
- पासवर्ड
- पैच
- पैच मंगलवार
- पैच
- पॉल
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- स्थिति
- पोस्ट
- ठीक
- ठीक - ठीक
- सुंदर
- पूर्वावलोकन
- पिछला
- सिद्धांत
- प्रोएक्टिव
- प्रसंस्कृत
- प्रसंस्करण
- प्रगतिशील
- संरक्षित
- सुरक्षा
- रक्षात्मक
- साबित करना
- रखना
- बिना सोचे समझे
- अनियमितता
- बल्कि
- पढ़ना
- वास्तविक
- निर्दिष्ट
- जवाब दें
- की सूचना दी
- की आवश्यकता होती है
- प्रतिक्रिया
- जोखिम भरा
- लगभग
- कहा
- वही
- सहेजें
- कहते हैं
- दूसरा
- सुरक्षा
- भेजना
- सेवा
- सत्र
- कम
- चाहिए
- साइड्स
- एक
- So
- ठोस
- कुछ
- कुछ हद तक
- विशेष रूप से
- वसंत
- प्रारंभ
- शुरुआत में
- शुरू होता है
- फिर भी
- संग्रहित
- इसके बाद
- सफलतापूर्वक
- ऐसा
- एसवीजी
- टीम
- कि
- RSI
- लेकिन हाल ही
- उन
- इन
- चीज़ें
- इस वर्ष
- धमकी
- पहर
- सेवा मेरे
- भी
- ऊपर का
- पारगमन
- संक्रमण
- पारदर्शी
- उपचार
- ट्रस्ट
- मंगलवार
- प्रकार
- यूक्रेनी
- आधारभूत
- अपडेट
- अपडेट
- यूआरएल
- us
- उपयोगकर्ता
- आमतौर पर
- सत्यापित
- के माध्यम से
- शिकार
- देखें
- आयतन
- भेद्यता
- चेतावनी दी है
- मार्ग..
- क्या
- कौन कौन से
- कौन
- चौडाई
- जंगली
- मर्जी
- खिड़कियां
- साथ में
- बिना
- शब्द
- काम
- कार्य
- लायक
- होगा
- गलत
- वर्ष
- आप
- आपका
- जेफिरनेट
- शून्य