ونڈوز کے مختلف ورژنز میں دو الگ الگ کمزوریاں موجود ہیں جو حملہ آوروں کو مائیکروسافٹ کے مارک آف دی ویب (MOTW) سیکیورٹی فیچر سے پہلے کی بدنیتی پر مبنی منسلکات اور فائلوں کو چھپانے کی اجازت دیتی ہیں۔
کارنیگی میلن یونیورسٹی میں CERT کوآرڈینیشن سنٹر (CERT/CC) کے ساتھ سابق سافٹ ویئر کمزوری کے تجزیہ کار ول ڈورمن کے مطابق، حملہ آور دونوں مسائل کا فعال طور پر استحصال کر رہے ہیں، جنہوں نے دو کیڑے دریافت کیے تھے۔ لیکن اب تک، مائیکروسافٹ نے ان کے لیے کوئی اصلاحات جاری نہیں کیں، اور تنظیموں کے لیے خود کو محفوظ رکھنے کے لیے کوئی معروف حل دستیاب نہیں ہے، محقق کا کہنا ہے، جسے اپنے کیریئر کے دوران صفر دن کی متعدد کمزوریوں کو دریافت کرنے کا سہرا دیا گیا ہے۔
ناقابل اعتماد فائلوں کے لیے MotW تحفظات
MotW ونڈوز کی ایک خصوصیت ہے جو صارفین کو ناقابل اعتماد ذرائع سے فائلوں سے بچانے کے لیے بنائی گئی ہے۔ نشان خود ہے۔ ایک پوشیدہ ٹیگ جسے ونڈوز منسلک کرتا ہے۔ انٹرنیٹ سے ڈاؤن لوڈ کی گئی فائلوں کے لیے۔ MotW ٹیگ رکھنے والی فائلوں پر پابندی ہے کہ وہ کیا کرتی ہیں اور کیسے کام کرتی ہیں۔ مثال کے طور پر، MS Office 10 سے شروع کرتے ہوئے، MotW ٹیگ شدہ فائلیں بطور ڈیفالٹ Protected View میں کھلتی ہیں، اور executables کو چلانے کی اجازت دینے سے پہلے Windows Defender کے ذریعے حفاظتی مسائل کی جانچ کی جاتی ہے۔
"Windows کی بہت سی حفاظتی خصوصیات — [جیسے] Microsoft Office Protected view, SmartScreen, Smart App Control, [اور] وارننگ ڈائیلاگ — کام کرنے کے لیے MotW کی موجودگی پر بھروسہ کرتے ہیں،" Dormann، جو اس وقت اینالیجینس میں کمزوری کے سینئر تجزیہ کار ہیں، ڈارک ریڈنگ بتاتا ہے۔
بگ 1: MotW .ZIP بائی پاس، غیر سرکاری پیچ کے ساتھ
ڈورمن نے 7 جولائی کو مائیکروسافٹ کو دو MotW بائی پاس ایشوز میں سے پہلی اطلاع دی۔ ان کے مطابق، Windows خاص طور پر تیار کردہ .ZIP فائلوں سے نکالی گئی فائلوں پر MotW لاگو کرنے میں ناکام رہتا ہے۔
Dorman کا کہنا ہے کہ ".ZIP کے اندر موجود کسی بھی فائل کو اس طرح ترتیب دیا جا سکتا ہے کہ جب اسے نکالا جائے تو اس میں MOTW نشانات نہیں ہوں گے،" ڈورمین کہتے ہیں۔ "یہ حملہ آور کو ایک فائل رکھنے کی اجازت دیتا ہے جو اس طریقے سے کام کرے گا جس سے یہ ظاہر ہوتا ہے کہ یہ انٹرنیٹ سے نہیں آیا ہے۔" اس سے ان کے لیے صارفین کو اپنے سسٹمز پر صوابدیدی کوڈ چلانے کے لیے دھوکہ دینا آسان ہو جاتا ہے، ڈورمن نوٹ۔
ڈورمن کا کہنا ہے کہ وہ اس مسئلے کی تفصیلات شیئر نہیں کر سکتے، کیونکہ اس سے حملہ آور اس خامی کا فائدہ کیسے اٹھا سکتے ہیں۔ لیکن اس کا کہنا ہے کہ یہ XP سے ونڈوز کے تمام ورژن کو متاثر کرتا ہے۔ اس کا کہنا ہے کہ ایک وجہ جو اس نے مائیکروسافٹ سے نہیں سنی ہے اس کی وجہ یہ ہے کہ اس خطرے کی اطلاع انہیں CERT کے Vulnerability Information and Coordination Environment (VINCE) کے ذریعے دی گئی تھی، جو ایک ایسا پلیٹ فارم ہے جسے وہ کہتے ہیں کہ Microsoft نے استعمال کرنے سے انکار کر دیا ہے۔
"میں نے جولائی کے آخر سے CERT میں کام نہیں کیا ہے، اس لیے میں یہ نہیں کہہ سکتا کہ کیا مائیکروسافٹ نے جولائی سے کسی بھی طرح سے CERT سے رابطہ کرنے کی کوشش کی ہے،" وہ خبردار کرتا ہے۔
ڈورمن کا کہنا ہے کہ دیگر سیکورٹی محققین نے حملہ آوروں کو اس خامی کا فعال طور پر فائدہ اٹھاتے ہوئے دیکھا ہے۔ ان میں سے ایک سیکیورٹی ریسرچر کیون بیومونٹ ہے، جو مائیکروسافٹ کے سابق دھمکی آمیز انٹیلی جنس تجزیہ کار ہیں۔ اس ماہ کے شروع میں ایک ٹویٹ تھریڈ میں، بیومونٹ نے اس خامی کی اطلاع دی کہ جنگل میں اس کا استحصال کیا جا رہا ہے۔
"یہ ایک شک کے بغیر ہے بیوقوف صفر دن جس پر میں نے کام کیا ہے۔"بیومونٹ نے کہا۔
ایک دن بعد ایک علیحدہ ٹویٹ میں، بیومونٹ نے کہا کہ وہ اس مسئلے کے لیے پتہ لگانے کی رہنمائی جاری کرنا چاہتے ہیں لیکن ممکنہ نتائج کے بارے میں فکر مند ہیں۔
"اگر Emotet/Qakbot/etc اسے ڈھونڈتے ہیں تو وہ اسے 100% پیمانے پر استعمال کریں گے،" انہوں نے خبردار کیا۔
مائیکروسافٹ نے ڈارک ریڈنگ کی دو درخواستوں کا جواب نہیں دیا جس میں ڈورمن کی رپورٹ کردہ کمزوریوں پر تبصرہ کیا گیا تھا یا آیا اس کا ان سے نمٹنے کا کوئی منصوبہ تھا، لیکن سلووینیا میں مقیم سیکیورٹی فرم ایکروس سیکیورٹی نے گزشتہ ہفتے ایک غیر سرکاری پیچ جاری کیا اس کے 0patch پیچنگ پلیٹ فارم کے ذریعے اس پہلی کمزوری کے لیے۔
ڈارک ریڈنگ کے تبصروں میں، میتجا کولسیک، سی ای او اور 0پیچ اور ایکروس سیکیورٹی کے شریک بانی، کہتے ہیں کہ وہ اس کمزوری کی تصدیق کرنے میں کامیاب رہے جس کی اطلاع ڈورمن نے جولائی میں مائیکرو سافٹ کو دی تھی۔
"ہاں، ایک بار جب آپ اسے جان لیں تو یہ مضحکہ خیز طور پر واضح ہے۔ اسی لیے ہم کوئی تفصیلات ظاہر نہیں کرنا چاہتے تھے،‘‘ وہ کہتے ہیں۔ ان کا کہنا ہے کہ .ZIP فائلوں کو ان زپ کرنے والا کوڈ ناقص ہے اور اسے صرف ایک کوڈ پیچ ہی ٹھیک کر سکتا ہے۔ کولسیک کا کہنا ہے کہ "کوئی حل نہیں ہے۔
کولسیک کا کہنا ہے کہ اس مسئلے سے فائدہ اٹھانا مشکل نہیں ہے، لیکن وہ مزید کہتے ہیں کہ ایک کامیاب حملے کے لیے صرف کمزوری کافی نہیں ہے۔ کامیابی سے فائدہ اٹھانے کے لیے، ایک حملہ آور کو اب بھی صارف کو اس بات پر قائل کرنے کی ضرورت ہوگی کہ وہ بد نیتی سے تیار کردہ .ZIP آرکائیو میں فائل کھولے — جسے ایک اٹیچمنٹ کے طور پر ایک فشنگ ای میل کے ذریعے بھیجا گیا یا مثال کے طور پر USB اسٹک جیسی ہٹنے والی ڈرائیو سے کاپی کیا گیا۔
وہ کہتے ہیں، "عام طور پر، .ZIP آرکائیو سے نکالی گئی تمام فائلیں جن پر MotW کا نشان ہوتا ہے، کو بھی یہ نشان مل جاتا ہے اور اس لیے کھولنے یا لانچ کرنے پر سیکیورٹی وارننگ کو متحرک کرے گا،" وہ کہتے ہیں، لیکن خطرے کی وجہ سے حملہ آوروں کو یقینی طور پر تحفظ کو نظرانداز کرنے کا راستہ ملتا ہے۔ انہوں نے مزید کہا کہ "ہم کسی بھی تخفیف کے حالات سے آگاہ نہیں ہیں۔
بگ 2: کرپٹ مستند دستخطوں کے ساتھ ماضی کے MotW کو چھپانا
دوسری کمزوری میں MotW ٹیگ شدہ فائلوں کو سنبھالنا شامل ہے جن میں کرپٹ Authenticode ڈیجیٹل دستخط ہیں۔ Authenticode ایک Microsoft کوڈ پر دستخط کرنے والی ٹیکنالوجی ہے۔ جو سافٹ ویئر کے کسی خاص حصے کے پبلشر کی شناخت کی توثیق کرتا ہے اور اس بات کا تعین کرتا ہے کہ آیا سافٹ ویئر کے شائع ہونے کے بعد اس کے ساتھ چھیڑ چھاڑ کی گئی تھی۔
ڈورمن کا کہنا ہے کہ اس نے دریافت کیا کہ اگر کسی فائل میں غلط مستند دستخط موجود ہیں، تو ونڈوز اسے ایسا سمجھے گا جیسے اس میں کوئی MotW نہیں ہے۔ خطرے کی وجہ سے ونڈوز جاوا اسکرپٹ فائل پر عمل کرنے سے پہلے اسمارٹ اسکرین اور دیگر وارننگ ڈائیلاگ کو چھوڑ دیتا ہے۔
ڈورمن کا کہنا ہے کہ "ونڈوز اس وقت 'فیل کھلی' دکھائی دیتی ہے جب اسے Authenticode ڈیٹا پر کارروائی کرنے میں غلطی کا سامنا کرنا پڑتا ہے،" Dormann کہتے ہیں، اور "یہ اب MotW تحفظات کو Authenticode-signed فائلوں پر لاگو نہیں کرے گا، باوجود اس کے کہ وہ MotW کو برقرار رکھے ہوئے ہیں۔"
ڈورمن نے اس مسئلے کو ونڈوز کے ہر ورژن کو متاثر کرنے کے طور پر بیان کیا ہے جو کہ ورژن 10 سے ونڈوز کے ہر ورژن کو متاثر کر رہا ہے، بشمول Windows Server 2016 کا سرور۔ یہ کمزوری حملہ آوروں کو کسی بھی فائل پر دستخط کرنے کا ایک طریقہ فراہم کرتی ہے جس پر Authenticode کے ذریعے کرپٹ طریقے سے دستخط کیے جا سکتے ہیں — جیسے .exe فائلیں اور JavaScript فائلیں — اور اسے MOTW تحفظات سے گزریں۔
ڈورمن کا کہنا ہے کہ اس نے اس مسئلے کے بارے میں اس ماہ کے شروع میں ایک HP تھریٹ ریسرچ بلاگ پڑھنے کے بعد سیکھا۔ میگنیبر رینسم ویئر مہم خامی کے لئے ایک استحصال شامل.
یہ واضح نہیں ہے کہ آیا مائیکروسافٹ کارروائی کر رہا ہے، لیکن فی الحال، محققین خطرے کی گھنٹی بجاتے رہتے ہیں۔ "مجھے مائیکروسافٹ کی طرف سے کوئی باضابطہ جواب نہیں ملا ہے، لیکن ساتھ ہی، میں نے باضابطہ طور پر مائیکرو سافٹ کو اس مسئلے کی اطلاع نہیں دی ہے، کیونکہ میں اب CERT کا ملازم نہیں ہوں،" ڈورمن کہتے ہیں۔ "میں نے ٹویٹر کے ذریعے عوامی طور پر اس کا اعلان کیا، جنگلی میں حملہ آوروں کی طرف سے استعمال کیے جانے والے خطرے کی وجہ سے۔"
