Windows MSHTML জিরো-ডে এক বছরেরও বেশি সময় ধরে ম্যালওয়্যার আক্রমণে ব্যবহৃত হয়

মাইক্রোসফ্ট একটি উইন্ডোজ শূন্য-দিনের দুর্বলতা সংশোধন করেছে যা বিল্ট-ইন সুরক্ষা বৈশিষ্ট্যগুলিকে বাইপাস করার সময় ক্ষতিকারক স্ক্রিপ্টগুলি চালু করার জন্য আঠারো মাস ধরে আক্রমণে সক্রিয়ভাবে কাজে লাগানো হয়েছে।

ত্রুটি, হিসাবে ট্র্যাক CVE-2024-38112একটি উচ্চ-তীব্রতার MHTML স্পুফিং সমস্যা এর সময় সংশোধন করা হয়েছে৷ জুলাই 2024 প্যাচ মঙ্গলবার নিরাপত্তা আপডেট.


চেক পয়েন্ট রিসার্চের হাইফেই লি দুর্বলতা আবিষ্কার করেছেন এবং 2024 সালের মে মাসে মাইক্রোসফ্টের কাছে এটি প্রকাশ করেছেন।

যাইহোক, ক লি দ্বারা রিপোর্টগবেষক নোট করেছেন যে তারা 2023 সালের জানুয়ারী পর্যন্ত এই ত্রুটিকে কাজে লাগানোর নমুনাগুলি আবিষ্কার করেছেন।

ইন্টারনেট এক্সপ্লোরার চলে গেছে, কিন্তু সত্যিই নয়

হাইফেই লি আবিষ্কার করেছেন যে হুমকি অভিনেতারা পিডিএফ-এর মতো বৈধ-সুদর্শন ফাইলগুলিকে ফাঁকি দেওয়ার জন্য উইন্ডোজ ইন্টারনেট শর্টকাট ফাইল (.url) বিতরণ করছে, কিন্তু পাসওয়ার্ড-চুরির ম্যালওয়্যার ইনস্টল করতে HTA ফাইলগুলি ডাউনলোড করে চালু করে৷

একটি ইন্টারনেট শর্টকাট ফাইল হল একটি টেক্সট ফাইল যাতে বিভিন্ন কনফিগারেশন সেটিংস থাকে, যেমন কোন আইকনটি দেখাতে হবে, কোন লিঙ্কটি ডাবল ক্লিক করলে খুলতে হবে এবং অন্যান্য তথ্য। .url ফাইল হিসাবে সংরক্ষণ করা হলে এবং ডাবল-ক্লিক করা হলে, উইন্ডোজ ডিফল্ট ওয়েব ব্রাউজারে কনফিগার করা URL খুলবে।

যাইহোক, হুমকি অভিনেতারা আবিষ্কার করেছে যে তারা ইন্টারনেট এক্সপ্লোরারকে ব্যবহার করে নির্দিষ্ট URL খুলতে বাধ্য করতে পারে mhtml: ইউআরএল নির্দেশনায় URI হ্যান্ডলার, যেমন নীচে দেখানো হয়েছে।

URL ফাইলের বিষয়বস্তু
সূত্র: চেক পয়েন্ট

MHTML হল একটি 'MIME এনক্যাপসুলেশন অফ এগ্রিগেট HTML ডকুমেন্টস' ফাইল, ইন্টারনেট এক্সপ্লোরারে প্রবর্তিত একটি প্রযুক্তি যা একটি সম্পূর্ণ ওয়েবপেজ, এর ছবি সহ, একটি একক আর্কাইভে অন্তর্ভুক্ত করে।

যখন URL এর সাথে চালু হয় mhtml: ইউআরআই, উইন্ডোজ ডিফল্ট ব্রাউজারের পরিবর্তে ইন্টারনেট এক্সপ্লোরারে স্বয়ংক্রিয়ভাবে এটি চালু করে।

দুর্বলতা গবেষক উইল ডরম্যানের মতে, ইন্টারনেট এক্সপ্লোরারে একটি ওয়েবপেজ খোলার ফলে হুমকি অভিনেতাদের অতিরিক্ত সুবিধা পাওয়া যায়, কারণ দূষিত ফাইল ডাউনলোড করার সময় নিরাপত্তা সতর্কতা কম থাকে।

“প্রথম, IE আপনাকে সতর্কতা ছাড়াই ইন্টারনেট থেকে একটি .HTA ফাইল ডাউনলোড করার অনুমতি দেবে,” ডোরম্যান ব্যাখ্যা করেছেন মাস্টোডনের উপর।

“এরপর, একবার এটি ডাউনলোড হয়ে গেলে, .HTA ফাইলটি INetCache ডিরেক্টরিতে থাকবে, কিন্তু এটিতে স্পষ্টভাবে একটি MotW থাকবে না৷ এই মুহুর্তে, ব্যবহারকারীর একমাত্র সুরক্ষা হল একটি সতর্কতা যে “একটি ওয়েবসাইট” ওয়েব সামগ্রী খুলতে চায়৷ কম্পিউটারে একটি প্রোগ্রাম ব্যবহার করে।”

“এটি কোন ওয়েবসাইট তা না বলে। ব্যবহারকারী যদি বিশ্বাস করে যে তারা “এই” ওয়েবসাইটটিকে বিশ্বাস করে, তাহলে কোড এক্সিকিউশন ঘটলেই হবে৷'

মূলত, হুমকি অভিনেতারা এই সত্যের সুবিধা নেয় যে ইন্টারনেট এক্সপ্লোরার এখনও উইন্ডোজ 10 এবং উইন্ডোজ 11-এ ডিফল্টরূপে অন্তর্ভুক্ত রয়েছে।

মাইক্রোসফট সত্ত্বেও তার অবসর ঘোষণা মোটামুটি দুই বছর আগে এবং এজ এটিকে সমস্ত ব্যবহারিক ফাংশনে প্রতিস্থাপন করে, পুরানো ব্রাউজারটিকে এখনও আহ্বান করা যেতে পারে এবং ক্ষতিকারক উদ্দেশ্যে ব্যবহার করা যেতে পারে।

চেক পয়েন্ট বলছে যে হুমকি অভিনেতারা আইকন সূচী সহ ইন্টারনেট শর্টকাট ফাইল তৈরি করছে যাতে সেগুলিকে পিডিএফ ফাইলের লিঙ্ক হিসাবে দেখা যায়।

ক্লিক করা হলে, নির্দিষ্ট ওয়েব পৃষ্ঠাটি ইন্টারনেট এক্সপ্লোরারে খুলবে, যা স্বয়ংক্রিয়ভাবে ডাউনলোড করার চেষ্টা করে যা একটি পিডিএফ ফাইল বলে মনে হয় কিন্তু আসলে এটি একটি HTA ফাইল।

ইন্টারনেট এক্সপ্লোরার একটি পিডিএফ হিসাবে জালিয়াতি করে একটি HTA ফাইল ডাউনলোড করছে৷
সূত্র: চেক পয়েন্ট

যাইহোক, হুমকি অভিনেতারা এইচটিএ এক্সটেনশন লুকিয়ে রাখতে পারে এবং ইউনিকোড অক্ষর দিয়ে ফাইলের নাম প্যাড করে পিডিএফ ডাউনলোড করা হচ্ছে বলে মনে করতে পারে যাতে .hta এক্সটেনশনটি প্রদর্শিত না হয়, যেমনটি নীচে দেখানো হয়েছে।

.hta এক্সটেনশন লুকাতে ইউনিকোড অক্ষর প্যাডিং ব্যবহার করে HTA ফাইল
সূত্র: ব্লিপিং কম্পিউটার

যখন ইন্টারনেট এক্সপ্লোরার HTA ফাইল ডাউনলোড করে, তখন এটি জিজ্ঞাসা করে যে আপনি এটি সংরক্ষণ করতে চান বা খুলতে চান কিনা। যদি কোনও ব্যবহারকারী ফাইলটিকে PDF মনে করে খোলার সিদ্ধান্ত নেন, কারণ এতে ওয়েবের মার্ক নেই, তবে এটি একটি ওয়েবসাইট থেকে খোলার বিষয়বস্তু সম্পর্কে শুধুমাত্র একটি সাধারণ সতর্কতার সাথে চালু হবে।

ইন্টারনেট এক্সপ্লোরার HTA ফাইল চালু করলে Windows থেকে সতর্কতা
সূত্র: ব্লিপিং কম্পিউটার

লক্ষ্যমাত্রা একটি PDF ডাউনলোড করার আশা করে, ব্যবহারকারী এই সতর্কতাকে বিশ্বাস করতে পারে এবং ফাইলটি চালানোর অনুমতি দেওয়া হয়।

চেক পয়েন্ট রিসার্চ ব্লিপিং কম্পিউটারকে বলেছে যে এইচটিএ ফাইলটি চালানোর অনুমতি দিলে এটি ইনস্টল হবে আটলান্টিডা চুরিকারী ম্যালওয়্যার কম্পিউটারে পাসওয়ার্ড চুরিকারী ম্যালওয়্যার।

একবার কার্যকর করা হলে, ম্যালওয়্যার ব্রাউজারে সংরক্ষিত সমস্ত শংসাপত্র, কুকিজ, ব্রাউজারের ইতিহাস, ক্রিপ্টোকারেন্সি ওয়ালেট, স্টিম শংসাপত্র এবং অন্যান্য সংবেদনশীল ডেটা চুরি করবে।

মাইক্রোসফ্ট নিবন্ধনমুক্ত করে CVE-2024-38112 দুর্বলতা ঠিক করেছে mhtml: ইন্টারনেট এক্সপ্লোরার থেকে ইউআরআই, তাই এটি এখন পরিবর্তে মাইক্রোসফ্ট এজ-এ খোলে।

CVE-2024-38112 এর মতো CVE-2021-40444একটি শূন্য-দিনের দুর্বলতা যা MHTML এর অপব্যবহার করেছে যা উত্তর কোরিয়ার হ্যাকাররা চালু করতে ব্যবহার করেছে 2021 সালে নিরাপত্তা গবেষকদের লক্ষ্য করে হামলা.

Source link

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *

Raytahost Facebook Sharing Powered By : Raytahost.com