মাইক্রোসফ্ট বলবে না যে এটি শোষণের অধীনে গুরুত্বপূর্ণ উইন্ডোজ দুর্বলতা প্যাচ করবে কিনা

মাইক্রোসফ্ট বলবে না যে এটি শোষণের অধীনে গুরুত্বপূর্ণ উইন্ডোজ দুর্বলতা প্যাচ করবে কিনা

গেটি ইমেজ

যেহেতু হ্যাকার গ্রুপগুলি একটি প্রাক্তন উইন্ডোজ জিরো-ডে হাতুড়ি চালিয়ে যাচ্ছে যা লক্ষ্য কম্পিউটারে দূষিত কোড চালানো অস্বাভাবিকভাবে সহজ করে তোলে, মাইক্রোসফ্ট একটি লো প্রোফাইল রাখছে, এমনকি প্যাচ করার পরিকল্পনা আছে কিনা তা বলতেও অস্বীকার করছে।

গত সপ্তাহের শেষের দিকে নিরাপত্তা সংস্থা প্রুফপয়েন্ট বলেছেন যে হ্যাকাররা পরিচিত জাতি-রাষ্ট্র গোষ্ঠীর সাথে সম্পর্কযুক্ত দূরবর্তী কোড কার্যকর করার দুর্বলতাকে কাজে লাগাচ্ছে, যার নাম ফোলিনা। প্রুফপয়েন্ট বলেছে যে আক্রমণগুলি ইউরোপীয় এবং স্থানীয় মার্কিন সরকারের 10 টিরও কম প্রুফপয়েন্ট গ্রাহকদের কাছে পাঠানো দূষিত স্প্যাম বার্তাগুলিতে বিতরণ করা হয়েছিল।

মাইক্রোসফট পণ্য একটি “লক্ষ্য সমৃদ্ধ সুযোগ”

সোমবার একটি ইমেলে, নিরাপত্তা সংস্থাটি আরও রঙ যোগ করেছে, লেখা:

  • প্রুফপয়েন্ট থ্রেট রিসার্চ ফোলিনা দুর্বলতার ব্যবহারের জন্য সক্রিয়ভাবে নজরদারি করছে এবং আমরা শুক্রবার আরেকটি আকর্ষণীয় কেস দেখেছি। একটি RTF ফাইল সংযুক্তি সহ একটি ইমেল অবশেষে একটি PowerShell স্ক্রিপ্ট চালানোর জন্য Follina ব্যবহার করেছে। এই স্ক্রিপ্টটি ভার্চুয়ালাইজেশনের জন্য পরীক্ষা করে, স্থানীয় ব্রাউজার, মেল ক্লায়েন্ট এবং ফাইল পরিষেবাগুলি থেকে তথ্য চুরি করে, মেশিন রিকন পরিচালনা করে এবং তারপর বিটসঅ্যাডমিনের মাধ্যমে এক্সফিলের জন্য জিপ করে। যদিও প্রুফপয়েন্ট সন্দেহ করে যে এই প্রচারাভিযানটি পাওয়ারশেলের বিস্তৃত রিকন এবং টার্গেটিংয়ের কঠোর ঘনত্ব উভয়ের উপর ভিত্তি করে একটি রাষ্ট্র-সংযুক্ত অভিনেতার দ্বারা হয়েছে, আমরা বর্তমানে এটি একটি সংখ্যাযুক্ত TA-তে দায়ী করি না।
  • প্রুফপয়েন্ট মাইক্রোসফ্ট অ্যাপ্লিকেশনের মাধ্যমে এই দুর্বলতার ব্যবহার পর্যবেক্ষণ করেছে। আমরা ক্রমাগত এই দুর্বলতার সুযোগ বুঝতে পারছি কিন্তু এই সময়ে এটা স্পষ্ট যে Microsoft Office পণ্যগুলির স্যুট জুড়ে এবং Windows অ্যাপ্লিকেশনগুলিতেও এটি ব্যবহার করার অনেক সুযোগ বিদ্যমান।
  • মাইক্রোসফ্ট “ওয়ার্কঅ্যারাউন্ড” প্রকাশ করেছে তবে একটি সম্পূর্ণ স্কেল প্যাচ নয়। মাইক্রোসফ্ট পণ্যগুলি হুমকি অভিনেতাদের জন্য একটি লক্ষ্য-সমৃদ্ধ সুযোগ হিসাবে অব্যাহত রয়েছে এবং এটি স্বল্প মেয়াদে পরিবর্তন হবে না। আমরা প্রুফপয়েন্ট পণ্যগুলিতে সনাক্তকরণ এবং সুরক্ষা প্রকাশ করতে থাকি কারণ আমরা আমাদের গ্রাহকদের তাদের পরিবেশ সুরক্ষিত করতে সহায়তা করতে আরও শিখি।

নিরাপত্তা সংস্থা ক্যাসপারস্কি, ইতিমধ্যে, ফোলিনা শোষণে একটি উত্থান ট্র্যাক করেছে, সবচেয়ে বেশি মার্কিন যুক্তরাষ্ট্রে আঘাত করেছে, তার পরে ব্রাজিল, মেক্সিকো এবং রাশিয়া।

ক্যাসপারস্কি

ক্যাসপারস্কি গবেষকরা লিখেছেন, “আমরা র‍্যানসমওয়্যার আক্রমণ এবং ডেটা লঙ্ঘন সহ কর্পোরেট সংস্থানগুলিতে অ্যাক্সেস পাওয়ার জন্য আরও ফোলিনা শোষণের প্রচেষ্টা দেখতে আশা করি।”

সিইআরটি ইউক্রেন আরও বলেছে যে এটি সেই দেশের লক্ষ্যবস্তুতে শোষণগুলি ট্র্যাক করছে যা ফোলিনাকে শোষণ করার জন্য “অ্যাক্রুয়ালস.ডকক্সের সাথে মজুরির পরিবর্তন” শিরোনামের একটি ফাইল পাঠাতে ইমেল ব্যবহার করে।

ফোলিনার জনপ্রিয়তার রহস্য: “কম মিথস্ক্রিয়া RCE”

গভীর আগ্রহের একটি কারণ হল যে ফোলিনার শিকারের মিথস্ক্রিয়া একই স্তরের প্রয়োজন হয় না যা সাধারণ দূষিত নথি আক্রমণ করে। সাধারণত, এই আক্রমণগুলির জন্য নথি খুলতে এবং ম্যাক্রোর ব্যবহার সক্ষম করার লক্ষ্য প্রয়োজন। ফলিনা, এর বিপরীতে, নথিটি খুলতে লক্ষ্যের প্রয়োজন হয় না এবং অনুমতি দেওয়ার জন্য কোনও ম্যাক্রো নেই। প্রিভিউ উইন্ডোতে প্রদর্শিত ডকুমেন্টের সাধারণ কাজ, এমনকি সুরক্ষিত ভিউ চালু থাকা অবস্থায়ও, ক্ষতিকারক স্ক্রিপ্ট চালানোর জন্য যথেষ্ট।

“এটি আরও গুরুতর কারণ ম্যাক্রোগুলি অক্ষম করা হলে এটি কোন ব্যাপার না এবং এটি কেবল পূর্বরূপের মাধ্যমে আহ্বান করা যেতে পারে,” জেক উইলিয়ামস, সিকিউরিটি ফার্ম স্কাইথে সাইবার হুমকি গোয়েন্দা পরিচালক, একটি পাঠ্য চ্যাটে লিখেছেন৷ “এটি শূন্য-ক্লিকের মতো নয় যে ‘শুধু বিতরণ করলে শোষণের কারণ হয়’ তবে ব্যবহারকারীর নথিটি খুলতে হবে না।”

মেটাসপ্লয়েট হ্যাকিং ফ্রেমওয়ার্কের জন্য একটি শোষণ মডিউল বিকাশকারী গবেষকরা এই আচরণটিকে কম-ইন্টার্যাকশন রিমোট কোড এক্সিকিউশন হিসাবে উল্লেখ করেছেন। “আমি .docx এবং rtf উভয় ফর্ম্যাট ব্যবহার করে এটি পরীক্ষা করতে সক্ষম হয়েছি,” তাদের একজন লিখেছেন৷ “আমি শুধু এক্সপ্লোরারে নথিটির পূর্বরূপ দেখে RTF ফাইলের সাথে সম্পাদন করতে সক্ষম হয়েছি।”

একটি ধাক্কাধাক্কি প্রতিক্রিয়া

ফোলিনার জন্য উদ্দীপনা হুমকি অভিনেতা এবং ডিফেন্ডাররা দেখিয়েছেন মাইক্রোসফ্টের লো প্রোফাইলের সাথে একেবারে বৈপরীত্য। মাইক্রোসফ্ট শুরু থেকেই দুর্বলতার উপর কাজ করতে ধীর ছিল। 2020 সালে প্রকাশিত একটি একাডেমিক পেপারে দেখানো হয়েছে কিভাবে মাইক্রোসফ্ট সাপোর্ট ডায়াগনস্টিক টুল (MSDT) ব্যবহার করে একটি কম্পিউটারকে একটি দূষিত স্ক্রিপ্ট ডাউনলোড করতে এবং এটি কার্যকর করতে বাধ্য করা যায়।

এরপর এপ্রিলে শ্যাডো চেজার গ্রুপের গবেষক ড বলেছেন চালু টুইটার যে তারা মাইক্রোসফ্টকে রিপোর্ট করেছিল যে একটি চলমান দূষিত স্প্যাম রান ঠিক এটিই করছে। যদিও গবেষকরা প্রচারাভিযানে ব্যবহৃত ফাইলটি অন্তর্ভুক্ত করেছেন, মাইক্রোসফ্ট ত্রুটিপূর্ণ যুক্তির উপর প্রতিবেদনটি প্রত্যাখ্যান করেছে যে পেলোডগুলি চালানোর জন্য MSDT-এর একটি পাসওয়ার্ড প্রয়োজন।

অবশেষে, গত মঙ্গলবার, মাইক্রোসফ্ট আচরণটিকে একটি দুর্বলতা ঘোষণা করেছে, এটিকে ট্র্যাকার CVE-2022-30190 এবং 10 এর মধ্যে 7.8 এর তীব্রতা রেটিং দিয়েছে। কোম্পানি একটি প্যাচ ইস্যু করেনি এবং পরিবর্তে MSDT নিষ্ক্রিয় করার জন্য নির্দেশ জারি করেছে।

এরপর থেকে মাইক্রোসফট খুব কমই বলেছে। সোমবার, সংস্থাটি তার পরিকল্পনা কী তা বলতে অস্বীকার করে।

“ছোট নিরাপত্তা দলগুলি মূলত মাইক্রোসফ্টের অপ্রত্যাশিত দৃষ্টিভঙ্গিকে একটি চিহ্ন হিসাবে দেখছে যে এটি ‘আরেকটি দুর্বলতা’ – যা এটি অবশ্যই নয়,” উইলিয়ামস বলেছেন। “এটা স্পষ্ট নয় কেন মাইক্রোসফ্ট এই দুর্বলতাকে হ্রাস করে চলেছে, যা বন্য অঞ্চলে সক্রিয়ভাবে শোষণ করা হচ্ছে। এটি অবশ্যই নিরাপত্তা দলকে সাহায্য করছে না।”

মাইক্রোসফ্টকে সক্রিয় সতর্কতা প্রদান না করে, সংস্থাগুলিকে শুধুমাত্র ঝুঁকি সম্পর্কে নির্দেশিকা এবং এই দুর্বলতার সাথে তারা কতটা উন্মুক্ত করা হয়েছে সেগুলির উপর নির্ভর করতে হবে৷ এবং সফল শোষণের জন্য কম বার দেওয়া, এখন এটি ঘটতে একটি ভাল সময় হবে।