Η মাইক্রোসফট একটি রেকর্ড ঠিক করতে এপ্রিল 2024 মাসের জন্য নিরাপত্তা আপডেট প্রকাশ করেছে 149 ত্রুটি , যা দুটি সক্রিয়ভাবে বন্য শোষণ করা হয়েছে.
149টি ত্রুটির মধ্যে, তিনটিকে সমালোচনামূলক, 142টি গুরুত্বপূর্ণ রেট করা হয়েছে, তিনটিকে মধ্যম রেট দেওয়া হয়েছে এবং একটিকে নিম্ন তীব্রতা রেট করা হয়েছে। আপডেটটি প্রশ্নের বাইরে 21টি দুর্বলতা এর পরে কোম্পানির ক্রোমিয়াম-ভিত্তিক এজ ব্রাউজারে মুখোমুখি হয়েছিল ট্রাফিক এর মার্চ মঙ্গলবার 2024 প্যাচ ফিক্স .
যে দুটি ঘাটতি সক্রিয়ভাবে কাজে লাগানো হয়েছে তা হল-
- জন্য CVE-2024-26234 (CVSS স্কোর: 6,7) – প্রক্সি ড্রাইভার স্পুফিং দুর্বলতা
- জন্য CVE-2024-29988 (CVSS স্কোর: 8,8) – স্মার্টস্ক্রিন প্রম্পট নিরাপত্তা বৈশিষ্ট্য বাইপাস দুর্বলতা
যদিও মাইক্রোসফ্টের উপদেষ্টা CVE-2024-26234 সম্পর্কে তথ্য সরবরাহ করে না, সাইবার নিরাপত্তা সংস্থা সোফোস বলেছে যে এটি 2023 সালের ডিসেম্বরে একটি দূষিত এক্সিকিউটেবল ফাইল (“Catalog.exe” বা “ক্যাটালগ প্রমাণীকরণ ক্লায়েন্ট পরিষেবা”) আবিষ্কার করেছে। স্বাক্ষরিত একটি বৈধ Microsoft হার্ডওয়্যার সামঞ্জস্য প্রকাশক থেকে উইন্ডোজ ( WHCP ) সনদপত্র.
প্রামাণিক কোড বিশ্লেষণ বাইনারিটির মূল অনুরোধকারী প্রকাশককে হাইনান ইউহু টেকনোলজি কোং-এর কাছে প্রকাশ করেছে। Ltd, যেটি LaiXi Android Screen Mirroring নামে আরেকটি টুলের প্রকাশক।
পরবর্তীটিকে "একটি বিপণন সফ্টওয়্যার ... [যেটি] শত শত মোবাইল ফোনকে সংযুক্ত করতে পারে এবং ব্যাচে তাদের নিয়ন্ত্রণ করতে পারে এবং গ্রুপ অনুসরণ, লাইক এবং মন্তব্য করার মতো কাজগুলি স্বয়ংক্রিয়ভাবে করতে পারে" হিসাবে বর্ণনা করা হয়েছে৷
অনুমিত প্রমাণীকরণ পরিষেবার মধ্যে একটি উপাদান বলা হয় 3 প্রক্সি যা একটি সংক্রামিত সিস্টেমে নেটওয়ার্ক ট্র্যাফিক নিরীক্ষণ এবং বাধা দেওয়ার জন্য ডিজাইন করা হয়েছে, কার্যকরভাবে একটি ব্যাকডোর হিসাবে কাজ করে৷
"আমাদের কাছে এমন কোন প্রমাণ নেই যে LaiXi ডেভেলপাররা ইচ্ছাকৃতভাবে দূষিত ফাইলটিকে তাদের পণ্যে একত্রিত করেছে, অথবা কোন হুমকি অভিনেতা এটিকে LaiXi অ্যাপ্লিকেশন বিল্ড/বিল্ড প্রক্রিয়ায় ইনজেক্ট করার জন্য একটি সাপ্লাই চেইন আক্রমণ পরিচালনা করেছে," তিনি বলেন সোফোস গবেষক আন্দ্রেয়াস ক্লোপসচ। .
সাইবারসিকিউরিটি কোম্পানি আরও বলেছে যে এটি 5 জানুয়ারী, 2023 এর মধ্যে বন্যের মধ্যে ব্যাকডোরের অন্যান্য রূপগুলি আবিষ্কার করেছে, যা নির্দেশ করে যে প্রচারটি অন্তত তখন থেকে চলছে। মাইক্রোসফ্ট তখন থেকে প্রাসঙ্গিক ফাইলগুলিকে তার প্রত্যাহার তালিকায় যুক্ত করেছে।
মাইক্রোসফ্ট বলেছে, "এই সুরক্ষা বৈশিষ্ট্যটি বাইপাস দুর্বলতাকে কাজে লাগাতে, একজন আক্রমণকারীকে একটি লঞ্চার ব্যবহার করে দূষিত ফাইলগুলি চালু করতে একজন ব্যবহারকারীকে বোঝাতে হবে যে কোনও ব্যবহারকারীর ইন্টারফেস প্রদর্শন না করার অনুরোধ করে," মাইক্রোসফ্ট বলেছে।
"একটি ইমেল বা তাত্ক্ষণিক বার্তাপ্রেরণ আক্রমণের দৃশ্যে, একজন আক্রমণকারী লক্ষ্যযুক্ত ব্যবহারকারীকে দূরবর্তী কোড কার্যকর করার দুর্বলতাকে কাজে লাগানোর জন্য ডিজাইন করা একটি বিশেষভাবে তৈরি করা ফাইল পাঠাতে পারে।"
জিরো ডে ইনিশিয়েটিভ প্রকাশিত যে বন্য মধ্যে ত্রুটি শোষণের প্রমাণ আছে, যদিও মাইক্রোসফ্ট একটি "সবচেয়ে সম্ভাবনাময় শোষণ" রেটিং দিয়ে পতাকাঙ্কিত করেছে.
আরেকটি গুরুত্বপূর্ণ বিষয় হল দুর্বলতা CVE-2024-29990 (CVSS স্কোর: 9.0), বিশেষাধিকার ত্রুটির একটি উচ্চতা যা Microsoft Azure Kubernetes পরিষেবা কনটেইনার গোপনীয়তাকে প্রভাবিত করে যা অনুমোদনবিহীন আক্রমণকারীরা শংসাপত্র চুরি করতে ব্যবহার করতে পারে।
"একজন আক্রমণকারী অবিশ্বস্ত AKS Kubernetes নোড এবং AKS গোপনীয় কনটেইনার অ্যাক্সেস করতে পারে যে নেটওয়ার্ক স্ট্যাকের বাইরে গোপনীয় অতিথি এবং কন্টেইনারগুলিকে তারা আবদ্ধ হতে পারে," বলেছেন রেডমন্ড৷
সামগ্রিকভাবে, রিলিজটি 68টি রিমোট কোড এক্সিকিউশন, 31টি প্রিভিলেজ বৃদ্ধি, 26টি নিরাপত্তা বৈশিষ্ট্য বাইপাস এবং ছয়টি ডিনায়াল-অফ-সার্ভিস (DoS) বাগ মোকাবেলার জন্য উল্লেখযোগ্য। মজার বিষয় হল, 24টি নিরাপত্তা বাইপাস ত্রুটির মধ্যে 26টিই সিকিউর বুটের সাথে সম্পর্কিত।
“যদিও এই দুর্বলতাগুলির কোনটিই নয় নিরাপদ বুট এই মাসে সম্বোধন করা হয়েছে বন্য অঞ্চলে শোষণ করা হয়নি, এটি একটি অনুস্মারক হিসাবে পরিবেশন করে যে সিকিউর বুটের ত্রুটিগুলি এখনও রয়েছে এবং আমরা ভবিষ্যতে আরও সিকিউর বুট-সম্পর্কিত ক্ষতিকারক কার্যকলাপ দেখতে পাব,” বলেছেন টেনেবলের সিনিয়র স্টাফ রিসার্চ ইঞ্জিনিয়ার সাতনাম নারাং বলেছেন একটি বিবৃতি
মাইক্রোসফট আছে হিসাবে উদ্ঘাটন আসে সমালোচনার সম্মুখীন নিরাপত্তা অনুশীলনের জন্য, মার্কিন সাইবারসিকিউরিটি রিভিউ বোর্ড (CSRB) এর সাম্প্রতিক একটি প্রতিবেদনে স্টর্ম হিসাবে ট্র্যাক করা একজন চীনা হুমকি অভিনেতার দ্বারা পরিচালিত সাইবার গুপ্তচরবৃত্তির প্রচারাভিযান প্রতিরোধে যথেষ্ট কাজ না করার জন্য কোম্পানিকে আহ্বান জানিয়েছে। -0558 গত বছর।
এটি কোম্পানির সিদ্ধান্ত অনুসরণ করে মূল কারণ তথ্য প্রকাশ সাধারণ দুর্বলতা গণনা (CWE) শিল্প মান ব্যবহার করে নিরাপত্তা ত্রুটির জন্য। যাইহোক, এটি লক্ষণীয় যে পরিবর্তনগুলি শুধুমাত্র মার্চ 2024 থেকে প্রকাশিত পরামর্শগুলির সাথে শুরু করে প্রযোজ্য।
দ্য হ্যাকার নিউজের সাথে শেয়ার করা একটি বিবৃতিতে Rapid7-এর প্রধান সফ্টওয়্যার ইঞ্জিনিয়ার অ্যাডাম বার্নেট বলেছেন, "Microsoft-এর নিরাপত্তা উপদেষ্টাতে CWE মূল্যায়ন যোগ করা একটি দুর্বলতার সামগ্রিক মূল কারণ চিহ্নিত করতে সাহায্য করে।"
“CWE প্রোগ্রাম সম্প্রতি তার নির্দেশিকা আপডেট করেছে একটি CWE মূল কারণের সাথে CVE ম্যাপিং . CWE প্রবণতা বিশ্লেষণ করে উন্নত সফ্টওয়্যার ডেভেলপমেন্ট লাইফ সাইকেল (SDLC) ওয়ার্কফ্লো এবং টেস্টিংয়ের মাধ্যমে বিকাশকারীদের ভবিষ্যতের ঘটনাগুলি কমাতে সাহায্য করতে পারে, সেইসাথে ডিফেন্ডারদের বুঝতে সাহায্য করতে পারে যে কোথায় ডিফেন্স-ইন-ডেপ্থ প্রচেষ্টা এবং বিনিয়োগে আরও ভাল রিটার্নের জন্য উন্নয়নকে কঠোর করতে হবে"।
একটি সম্পর্কিত উন্নয়নে, সাইবারসিকিউরিটি ফার্ম ভারোনিস দুটি পদ্ধতি প্রকাশ করেছে যা আক্রমণকারীরা অডিট লগ বাইপাস করতে এবং শেয়ারপয়েন্ট থেকে ফাইল রপ্তানি করার সময় ডাউনলোড ইভেন্টগুলিকে ট্রিগার করা এড়াতে পারে।
প্রথম পদ্ধতিটি ফাইলগুলি অ্যাক্সেস এবং ডাউনলোড করতে SharePoint-এর "অ্যাপ-এ খুলুন" বৈশিষ্ট্যের সুবিধা নেয়, যখন দ্বিতীয়টি ফাইলগুলি বা এমনকি সম্পূর্ণ সাইটগুলি ডাউনলোড করতে Microsoft SkyDriveSync-এর ব্যবহারকারী এজেন্ট ব্যবহার করে, ডাউনলোডের পরিবর্তে ফাইল সিঙ্কের মতো ইভেন্টগুলিকে ভুল শ্রেণিবদ্ধ করে৷
"এই কৌশলগুলি ডাউনলোডগুলিকে কম সন্দেহজনক অ্যাক্সেস এবং সিঙ্ক্রোনাইজেশন ইভেন্ট হিসাবে ছদ্মবেশী করে ক্লাউড অ্যাক্সেস সিকিউরিটি ব্রোকার, ডেটা ক্ষতি প্রতিরোধ এবং SIEM এর মতো ঐতিহ্যবাহী সরঞ্জামগুলির সনাক্তকরণ এবং প্রয়োগের নীতিগুলিকে বাইপাস করতে পারে।" সে বলেছিল এরিক সারাগা।
তৃতীয় পক্ষের সফ্টওয়্যার ফিক্স
মাইক্রোসফ্ট ছাড়াও, সাম্প্রতিক সপ্তাহগুলিতে অন্যান্য বিক্রেতাদের দ্বারা সুরক্ষা আপডেটগুলিও প্রকাশিত হয়েছে বেশ কয়েকটি দুর্বলতা ঠিক করার জন্য, যার মধ্যে রয়েছে:
- রৌদ্রপক্ব ইষ্টক
- এএমডি
- অ্যান্ড্রয়েড
- C++ এর জন্য Apache XML নিরাপত্তা
- আরুবা নেটওয়ার্কসমূহ
- ATOS
- বশ
- সিসকো
- ডি-লিংক
- উপত্যকা
- Drupal এর
- F5
- Fortinet
- ফরট্রা
- GitLab
- Google Chrome
- গুগল ক্লাউড
- Google পিক্সেল
- Hikvision
- হিটাচি এনার্জি
- HP
- এইচপি এন্টারপ্রাইজ
- HTTP- র / 2
- আইবিএম
- ইভান্তি
- জেনকিন্স
- লেনোভো
- এলজি ওয়েবওএস
- লিনাক্স ডিস্ট্রিবিউশন ডেবিয়ান, ওরাকল লিনাক্স, লাল টুপি, SUSE, এবং উবুন্টু
- মিডিয়াটেক
- মজিলা ফায়ারফক্স, ফায়ারফক্স ইএসআর, এবং থান্ডারবার্ড
- NETGEAR
- এনভিডিয়া
- কোয়ালকম
- রকওয়েল অটোমেশন
- জং
- স্যামসাং
- এসএপি
- স্নাইডার ইলেকট্রিক
- সিমেন্স
- Splunk
- Synology
- অথবা VMware
- ওয়ার্ডপ্রেস
- জুম্