মাইক্রোসফ্ট এটি ঠিক করার আগে হুমকি অভিনেতারা এক বছরেরও বেশি সময় ধরে উইন্ডোজ 0-দিন শোষণ করেছিল

মাইক্রোসফ্ট এটি ঠিক করার আগে হুমকি অভিনেতারা এক বছরেরও বেশি সময় ধরে উইন্ডোজ 0-দিন শোষণ করেছিল

গেটি ইমেজ

হুমকিদাতারা শূন্য-দিনের আক্রমণ চালিয়েছে যা উইন্ডোজ ব্যবহারকারীদের এক বছরেরও বেশি সময় ধরে ম্যালওয়্যার দিয়ে লক্ষ্য করেছিল মাইক্রোসফ্ট তাদের সম্ভাব্য দুর্বলতা সংশোধন করার আগে, গবেষকরা মঙ্গলবার বলেছেন।

উইন্ডোজ 10 এবং 11 উভয় ক্ষেত্রেই বিদ্যমান দুর্বলতার কারণে ডিভাইসগুলি ইন্টারনেট এক্সপ্লোরার খুলতে পারে, একটি লিগ্যাসি ব্রাউজার যা মাইক্রোসফ্ট ডিকমিশন 2022 সালে এর বার্ধক্য কোড বেস এটিকে শোষণের জন্য ক্রমবর্ধমান সংবেদনশীল করে তোলে। এই পদক্ষেপের পর, উইন্ডোজ এটিকে কঠিন করে তুলেছিল, যদি অসম্ভব নাও হয়, স্বাভাবিক ক্রিয়াকলাপের জন্য ব্রাউজার খোলার জন্য, যা প্রথম 1990-এর দশকের মাঝামাঝি সময়ে চালু হয়েছিল।

কৌশল পুরাতন এবং নতুন

ক্ষতিকারক কোড যা দুর্বলতাকে কাজে লাগায় তা কমপক্ষে জানুয়ারী 2023 থেকে শুরু হয়েছে এবং এই বছরের মে মাসে সম্প্রতি প্রচারিত হয়েছিল, গবেষকরা যারা দুর্বলতা আবিষ্কার করেছিলেন এবং মাইক্রোসফ্টকে রিপোর্ট করেছিলেন তাদের মতে। কোম্পানি স্থির দুর্বলতা, CVE-2024-CVE-38112 হিসাবে ট্র্যাক করা হয়েছে, মঙ্গলবার তার মাসিক প্যাচ রিলিজ প্রোগ্রামের অংশ হিসাবে। দুর্বলতা, যা উইন্ডোজের এমএসএইচটিএমএল ইঞ্জিনে অবস্থান করে, 10 এর মধ্যে 7.0 এর তীব্রতা রেটিং বহন করে।

নিরাপত্তা সংস্থা চেক পয়েন্টের গবেষকরা বলেছেন যে আক্রমণের কোডটি “উপন্যাস (বা পূর্বে অজানা) কৌশলগুলি উইন্ডোজ ব্যবহারকারীদের রিমোট কোড কার্যকর করার জন্য প্রলুব্ধ করার জন্য।” একটি পিডিএফ ফাইল খোলার জন্য প্রদর্শিত একটি লিঙ্ক ফাইলের শেষে একটি .url এক্সটেনশন যুক্ত করেছে, উদাহরণস্বরূপ, Books_A0UJKO.pdf.url, যেটির একটিতে পাওয়া গেছে দূষিত কোড নমুনা.

উইন্ডোজে দেখা হলে, ফাইলটি একটি .url ফাইলের পরিবর্তে একটি পিডিএফ ইঙ্গিত করে একটি আইকন দেখায়৷ এই ধরনের ফাইলগুলি একটি লিঙ্কে নির্দিষ্ট করা একটি অ্যাপ্লিকেশন খোলার জন্য ডিজাইন করা হয়েছে।

Books_A0UJKO.pdf নামের একটি ফাইল দেখানো স্ক্রিনশট।  ফাইল আইকনটি নির্দেশ করে যে এটি একটি পিডিএফ।
বড় করা / Books_A0UJKO.pdf নামের একটি ফাইল দেখানো স্ক্রিনশট। ফাইল আইকনটি নির্দেশ করে যে এটি একটি পিডিএফ।

চেক পয়েন্ট

ফাইলের একটি লিঙ্ক msedge.exe-এ একটি কল করেছে, একটি ফাইল যা এজ চালায়। লিঙ্কটিতে অবশ্য দুটি বৈশিষ্ট্য রয়েছে—mhtml: এবং !x-usc:—একটি “পুরাতন কৌশল” হুমকি অভিনেতারা বছরের পর বছর ধরে উইন্ডোজকে এমএস ওয়ার্ডের মতো অ্যাপ্লিকেশন খুলতে ব্যবহার করে আসছে। এটি একটি দূষিত ওয়েবসাইটের একটি লিঙ্কও অন্তর্ভুক্ত করেছে। ক্লিক করা হলে, পিডিএফের ছদ্মবেশে .url ফাইলটি সাইটটি খোলে, এজ-এ নয়, ইন্টারনেট এক্সপ্লোরারে।

“সেখান থেকে (ওয়েবসাইটটি IE দিয়ে খোলা হচ্ছে), আক্রমণকারী অনেক খারাপ কাজ করতে পারে কারণ IE অনিরাপদ এবং পুরানো,” হাইফেই লি, চেক পয়েন্ট গবেষক যিনি দুর্বলতা আবিষ্কার করেছিলেন, লিখেছেন৷ “উদাহরণস্বরূপ, যদি আক্রমণকারীর একটি IE জিরো-ডে এক্সপ্লয়েট থাকে — যা Chrome/Edge-এর তুলনায় খুঁজে পাওয়া অনেক সহজ — আক্রমণকারী অবিলম্বে দূরবর্তী কোড কার্যকর করার জন্য শিকারকে আক্রমণ করতে পারে৷ যাইহোক, আমরা যে নমুনাগুলি বিশ্লেষণ করেছি তাতে, হুমকি অভিনেতারা কোনও IE রিমোট কোড এক্সিকিউশন শোষণ ব্যবহার করেনি। পরিবর্তে, তারা IE-তে আরেকটি কৌশল ব্যবহার করেছিল-যা সম্ভবত আগে সর্বজনীনভাবে পরিচিত ছিল না-আমাদের সর্বোত্তম জ্ঞানের জন্য-ভিকটিমকে দূরবর্তী কোড কার্যকর করার জন্য প্রতারণা করার জন্য।”

IE তারপরে ব্যবহারকারীকে একটি ডায়ালগ বক্স দিয়ে তাদের জিজ্ঞাসা করবে যে তারা ফাইলটিকে পিডিএফ হিসাবে মাস্করাডিং খুলতে চায় কিনা। ব্যবহারকারী যদি “খোলা” ক্লিক করেন, তাহলে উইন্ডোজ একটি অস্পষ্ট নোটিশ প্রদর্শন করে একটি দ্বিতীয় ডায়ালগ বক্স উপস্থাপন করে যে প্রক্রিয়াটি উইন্ডোজ ডিভাইসে বিষয়বস্তু খুলবে। ব্যবহারকারীরা “অনুমতি দিন” এ ক্লিক করলে IE .hta-তে শেষ হওয়া একটি ফাইল লোড করবে, একটি এক্সটেনশন যা উইন্ডোজকে ইন্টারনেট এক্সপ্লোরারে ফাইল খুলতে এবং এমবেডেড কোড চালাতে দেয়।

স্ক্রিনশট খোলা IE উইন্ডো এবং IE-জেনারেটেড ডায়ালগ বক্স দেখাচ্ছে Books_A0UJKO.pdf ফাইল খুলতে বলছে।
বড় করা / স্ক্রিনশট খোলা IE উইন্ডো এবং IE-জেনারেটেড ডায়ালগ বক্স দেখাচ্ছে Books_A0UJKO.pdf ফাইল খুলতে বলছে।

চেক পয়েন্ট

আইই সিকিউরিটি বক্সের স্ক্রিনশট ব্যবহারকারী চায় কিনা জিজ্ঞাসা করছে
বড় করা / ব্যবহারকারী IE ব্যবহার করে “ওয়েব সামগ্রী খুলতে” চান কিনা তা জিজ্ঞাসা করে IE নিরাপত্তা বাক্সের স্ক্রিনশট৷

চেক পয়েন্ট

“শোষণের দৃষ্টিকোণ থেকে আক্রমণগুলিকে সংক্ষিপ্ত করার জন্য: এই প্রচারাভিযানে ব্যবহৃত প্রথম কৌশলটি হল “mhtml” কৌশল, যা আক্রমণকারীকে আরও নিরাপদ Chrome/Edge-এর পরিবর্তে IE কল করতে দেয়,” লি লিখেছেন৷ “দ্বিতীয় কৌশলটি হল একটি IE কৌশল যাতে শিকারকে বিশ্বাস করাতে পারে যে তারা একটি পিডিএফ ফাইল খুলছে, যখন আসলে, তারা একটি বিপজ্জনক .hta অ্যাপ্লিকেশন ডাউনলোড ও সম্পাদন করছে। এই আক্রমণগুলির সামগ্রিক লক্ষ্য হল ক্ষতিগ্রস্তদের বিশ্বাস করানো যে তারা একটি পিডিএফ ফাইল খুলছে এবং এই দুটি কৌশল ব্যবহার করে এটি সম্ভব হয়েছে।”

চেক পয়েন্ট পোস্টে প্রচারাভিযানে ব্যবহৃত ছয়টি দূষিত .url ফাইলের জন্য ক্রিপ্টোগ্রাফিক হ্যাশ রয়েছে। উইন্ডোজ ব্যবহারকারীরা হ্যাশ ব্যবহার করে চেক করতে পারে যে তাদের লক্ষ্য করা হয়েছে কিনা।

Source link

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *

Raytahost Facebook Sharing Powered By : Raytahost.com