विंडोज के विभिन्न संस्करणों में दो अलग-अलग कमजोरियां मौजूद हैं जो हमलावरों को माइक्रोसॉफ्ट के मार्क ऑफ द वेब (एमओटीडब्लू) सुरक्षा सुविधा से पहले दुर्भावनापूर्ण अनुलग्नकों और फाइलों को छिपाने की अनुमति देती हैं।
कार्नेगी मेलॉन विश्वविद्यालय में सीईआरटी समन्वय केंद्र (सीईआरटी / सीसी) के एक पूर्व सॉफ्टवेयर भेद्यता विश्लेषक विल डॉर्मन के अनुसार, हमलावर दोनों मुद्दों का सक्रिय रूप से शोषण कर रहे हैं, जिन्होंने दो बग की खोज की। लेकिन अब तक, माइक्रोसॉफ्ट ने उनके लिए कोई सुधार जारी नहीं किया है, और संगठनों के लिए खुद को बचाने के लिए कोई ज्ञात कामकाज उपलब्ध नहीं है, शोधकर्ता कहते हैं, जिन्हें अपने करियर में कई शून्य-दिन कमजोरियों की खोज करने का श्रेय दिया गया है।
अविश्वसनीय फ़ाइलों के लिए MotW सुरक्षा
MotW एक विंडोज़ सुविधा है जिसे उपयोगकर्ताओं को अविश्वसनीय स्रोतों से फ़ाइलों से बचाने के लिए डिज़ाइन किया गया है। निशान ही है एक छिपा हुआ टैग जो विंडोज़ संलग्न करता है इंटरनेट से डाउनलोड की गई फ़ाइलों के लिए। MotW टैग वाली फ़ाइलें प्रतिबंधित हैं कि वे क्या करते हैं और कैसे कार्य करते हैं। उदाहरण के लिए, MS Office 10 से शुरू होकर, MotW-टैग की गई फ़ाइलें प्रोटेक्टेड व्यू में डिफ़ॉल्ट रूप से खुलती हैं, और निष्पादन योग्य को चलाने की अनुमति देने से पहले विंडोज डिफेंडर द्वारा सुरक्षा मुद्दों के लिए पहले जांच की जाती है।
"कई विंडोज सुरक्षा विशेषताएं - [जैसे] माइक्रोसॉफ्ट ऑफिस संरक्षित दृश्य, स्मार्टस्क्रीन, स्मार्ट ऐप कंट्रोल, [और] चेतावनी संवाद - कार्य करने के लिए एमओटीडब्ल्यू की उपस्थिति पर भरोसा करते हैं," डॉर्मन, जो वर्तमान में एनालिजेंस में एक वरिष्ठ भेद्यता विश्लेषक हैं, डार्क रीडिंग बताता है।
बग 1: MotW .ZIP बाईपास, अनौपचारिक पैच के साथ
Dormann ने 7 जुलाई को Microsoft को दो MotW बाईपास मुद्दों में से पहली की सूचना दी। उनके अनुसार, Windows विशेष रूप से तैयार की गई .ZIP फ़ाइलों से निकाली गई फ़ाइलों पर MotW को लागू करने में विफल रहता है।
"एक .ZIP के भीतर निहित किसी भी फ़ाइल को इस तरह से कॉन्फ़िगर किया जा सकता है कि जब इसे निकाला जाए, तो इसमें MOTW चिह्न नहीं होंगे," डॉर्मन कहते हैं। "यह एक हमलावर को एक फाइल रखने की अनुमति देता है जो इस तरह से काम करेगा जिससे यह प्रतीत होता है कि यह इंटरनेट से नहीं आया था।" इससे उनके लिए उपयोगकर्ताओं को अपने सिस्टम पर मनमानी कोड चलाने के लिए छल करना आसान हो जाता है, डॉर्मन नोट्स।
डॉर्मन का कहना है कि वह बग का विवरण साझा नहीं कर सकते, क्योंकि इससे पता चलेगा कि हमलावर दोष का लाभ कैसे उठा सकते हैं। लेकिन उनका कहना है कि यह XP से विंडोज के सभी संस्करणों को प्रभावित करता है। उनका कहना है कि एक कारण जो उन्होंने Microsoft से नहीं सुना है, वह यह है कि CERT के भेद्यता सूचना और समन्वय पर्यावरण (VINCE) के माध्यम से उन्हें भेद्यता की सूचना दी गई थी, एक ऐसा मंच जिसके बारे में उनका कहना है कि Microsoft ने उपयोग करने से इनकार कर दिया है।
"मैंने जुलाई के अंत से सीईआरटी में काम नहीं किया है, इसलिए मैं यह नहीं कह सकता कि माइक्रोसॉफ्ट ने जुलाई से सीईआरटी से किसी भी तरह से संपर्क करने का प्रयास किया है," वह चेतावनी देते हैं।
डॉर्मन का कहना है कि अन्य सुरक्षा शोधकर्ताओं ने हमलावरों को सक्रिय रूप से दोष का शोषण करते हुए देखा है। उनमें से एक सुरक्षा शोधकर्ता केविन ब्यूमोंट हैं, जो माइक्रोसॉफ्ट के पूर्व ख़तरनाक ख़ुफ़िया विश्लेषक हैं। इस महीने की शुरुआत में एक ट्वीट थ्रेड में, ब्यूमोंट ने जंगल में शोषण के रूप में दोष की सूचना दी।
"यह एक शक के बिना है" डंबेस्ट ज़ीरो डे मैंने काम किया है, "ब्यूमोंट ने कहा।
एक दिन बाद एक अलग ट्वीट में, ब्यूमोंट ने कहा कि वह इस मुद्दे के लिए डिटेक्शन गाइडेंस जारी करना चाहते थे, लेकिन संभावित नतीजों के बारे में चिंतित थे।
"अगर इमोटेट / काकबोट / आदि इसे ढूंढते हैं तो वे इसे 100% पैमाने पर इस्तेमाल करेंगे," उन्होंने चेतावनी दी।
Microsoft ने दो डार्क रीडिंग अनुरोधों का जवाब नहीं दिया, जिसमें डॉर्मन की रिपोर्ट की गई कमजोरियों पर टिप्पणी की मांग की गई थी या क्या उन्हें संबोधित करने की कोई योजना थी, लेकिन स्लोवेनिया स्थित सुरक्षा फर्म एक्रोस सिक्योरिटी ने पिछले हफ्ते एक अनौपचारिक पैच जारी किया इसके 0patch पैचिंग प्लेटफॉर्म के माध्यम से इस पहली भेद्यता के लिए।
डार्क रीडिंग की टिप्पणियों में, 0पैच और एक्रोस सिक्योरिटी के सीईओ और सह-संस्थापक मिजा कोलसेक का कहना है कि वह उस भेद्यता की पुष्टि करने में सक्षम थे जो डॉर्मन ने जुलाई में माइक्रोसॉफ्ट को रिपोर्ट की थी।
"हाँ, एक बार जब आप इसे जान लेते हैं तो यह हास्यास्पद रूप से स्पष्ट होता है। इसलिए हम कोई विवरण प्रकट नहीं करना चाहते थे, ”वे कहते हैं। उनका कहना है कि .ZIP फ़ाइलों को अनज़िप करने वाला कोड त्रुटिपूर्ण है और केवल एक कोड पैच ही इसे ठीक कर सकता है। "कोई समाधान नहीं है," कोल्सेक कहते हैं।
कोल्सेक का कहना है कि इस मुद्दे का फायदा उठाना मुश्किल नहीं है, लेकिन वह कहते हैं कि एक सफल हमले के लिए अकेले भेद्यता पर्याप्त नहीं है। सफलतापूर्वक शोषण करने के लिए, एक हमलावर को अभी भी एक उपयोगकर्ता को दुर्भावनापूर्ण रूप से तैयार किए गए .ZIP संग्रह में एक फ़ाइल खोलने के लिए मनाने की आवश्यकता होगी - एक फ़िशिंग ईमेल के माध्यम से एक अनुलग्नक के रूप में भेजा गया या उदाहरण के लिए एक यूएसबी स्टिक जैसे हटाने योग्य ड्राइव से कॉपी किया गया।
"आम तौर पर, एक .ZIP संग्रह से निकाली गई सभी फाइलें जो MotW के साथ चिह्नित होती हैं, उन्हें भी यह चिह्न मिलेगा और इसलिए खोले या लॉन्च होने पर सुरक्षा चेतावनी को ट्रिगर करेगा," वे कहते हैं, लेकिन भेद्यता निश्चित रूप से हमलावरों को सुरक्षा को बायपास करने का एक तरीका देती है। "हम किसी भी कम करने वाली परिस्थितियों से अवगत नहीं हैं," वे कहते हैं।
बग 2: भ्रष्ट ऑथेंटिकोड हस्ताक्षरों के साथ पिछले एमओटीडब्ल्यू को छिपाना
दूसरी भेद्यता में मोटडब्ल्यू टैग की गई फाइलों को संभालना शामिल है जिनमें भ्रष्ट ऑथेंटिकोड डिजिटल हस्ताक्षर हैं। Authenticode एक Microsoft कोड-हस्ताक्षर तकनीक है जो किसी विशेष सॉफ्टवेयर के प्रकाशक की पहचान को प्रमाणित करता है और यह निर्धारित करता है कि प्रकाशित होने के बाद सॉफ्टवेयर के साथ छेड़छाड़ की गई थी या नहीं।
डॉर्मन का कहना है कि उन्होंने पाया कि अगर किसी फ़ाइल में एक विकृत ऑथेंटिकोड हस्ताक्षर है, तो इसे विंडोज़ द्वारा माना जाएगा जैसे कि इसमें कोई MotW नहीं था; भेद्यता के कारण विंडोज़ एक जावास्क्रिप्ट फ़ाइल को निष्पादित करने से पहले स्मार्टस्क्रीन और अन्य चेतावनी संवादों को छोड़ देता है।
डॉर्मन कहते हैं, "विंडोज़ 'खुला होने में विफल' प्रतीत होता है, जब यह एक त्रुटि का सामना करता है [जब] ऑथेंटिकोड डेटा को प्रोसेस करता है," और "यह अब ऑथेंटिकोड-हस्ताक्षरित फ़ाइलों के लिए एमओटीडब्ल्यू सुरक्षा लागू नहीं करेगा, इसके बावजूद कि वास्तव में अभी भी एमओटीडब्ल्यू को बनाए रखना है।"
डॉर्मन ने इस समस्या का वर्णन संस्करण 10 से विंडोज के हर संस्करण को प्रभावित करने के रूप में किया है, जिसमें विंडोज सर्वर 2016 का सर्वर संस्करण भी शामिल है। भेद्यता हमलावरों को किसी भी फाइल पर हस्ताक्षर करने का एक तरीका देती है जिसे ऑथेंटिकोड द्वारा भ्रष्ट तरीके से हस्ताक्षरित किया जा सकता है - जैसे कि .exe फ़ाइलें और JavaScript फ़ाइलें — और इसे MOTW सुरक्षा से पहले छिपाएं।
डॉर्मन का कहना है कि उन्होंने इस महीने की शुरुआत में एक एचपी थ्रेट रिसर्च ब्लॉग पढ़ने के बाद इस मुद्दे के बारे में सीखा मैग्नीबर रैंसमवेयर अभियान दोष के लिए एक शोषण शामिल है।
यह स्पष्ट नहीं है कि Microsoft कार्रवाई कर रहा है, लेकिन अभी के लिए, शोधकर्ता अलार्म बजाना जारी रखते हैं। "मुझे माइक्रोसॉफ्ट से आधिकारिक प्रतिक्रिया नहीं मिली है, लेकिन साथ ही, मैंने आधिकारिक तौर पर माइक्रोसॉफ्ट को इस मुद्दे की सूचना नहीं दी है, क्योंकि मैं अब सीईआरटी कर्मचारी नहीं हूं," डॉर्मन कहते हैं। "जंगली में हमलावरों द्वारा इस्तेमाल की जा रही भेद्यता के कारण, मैंने ट्विटर के माध्यम से सार्वजनिक रूप से इसकी घोषणा की।"
