উইন্ডোজে ডস-টু-এনটি পাথ রূপান্তর প্রক্রিয়ার সাথে সম্পর্কিত একটি পরিচিত সমস্যাটি ব্যবসার জন্য উল্লেখযোগ্য ঝুঁকি উন্মুক্ত করে, আক্রমণকারীদের ফাইল, ডিরেক্টরি এবং প্রক্রিয়াগুলিকে গোপন ও ছদ্মবেশী করার জন্য রুটকিটের মতো পোস্ট-শোষণ ক্ষমতা অর্জন করার অনুমতি দিয়ে।
এটি SafeBreach এর নিরাপত্তা গবেষক Or Yair এর মতে, যিনি এই সপ্তাহে সিঙ্গাপুরে ব্ল্যাক হ্যাট এশিয়া 2024-এ একটি অধিবেশন চলাকালীন সমস্যাটির রূপরেখা দিয়েছেন। তিনি ইস্যু সম্পর্কিত চারটি ভিন্ন দুর্বলতারও বিস্তারিত বর্ণনা করেছেন, যা তিনি "ম্যাজিকডট" ডাবএকটি বিপজ্জনক রিমোট কোড-এক্সিকিউশন বাগ সহ যা কেবল একটি সংরক্ষণাগার বের করে ট্রিগার করা যেতে পারে।
ডস-টু-এনটি পাথ রূপান্তরে বিন্দু এবং স্থান
ম্যাজিকডট গোষ্ঠীর সমস্যা বিদ্যমান রয়েছে কারণ উইন্ডোজ ডস পাথকে বিটি পাথে পরিবর্তন করে।
যখন ব্যবহারকারীরা তাদের পিসিতে ফাইল বা ফোল্ডার খোলে, উইন্ডোজ যেখানে ফাইলটি বিদ্যমান সেখানে পাথ উল্লেখ করে এটি সম্পন্ন করে; সাধারণত, এটি একটি ডস পাথ যা "C:UsersUserDocumentsexample.txt" ফর্ম্যাট অনুসরণ করে। যাইহোক, NtCreateFile নামক একটি ভিন্ন অন্তর্নিহিত ফাংশন ফাইল খোলার কার্য সম্পাদন করতে ব্যবহৃত হয়; এবং NtCreateFile একটি NT পাথ জিজ্ঞাসা করে এবং একটি DOS পাথ নয়। এইভাবে, উইন্ডোজ ব্যবহারকারীদের কাছে দৃশ্যমান পরিচিত DOS পাথটিকে একটি NT পাথে রূপান্তরিত করে, NtCreateFile-কে কল করার আগে অপারেশনটি সক্ষম করে।
শোষণযোগ্য সমস্যাটি বিদ্যমান কারণ, রূপান্তর প্রক্রিয়া চলাকালীন, উইন্ডোজ স্বয়ংক্রিয়ভাবে DOS পাথ থেকে যেকোন পিরিয়ড মুছে দেয় এবং শেষে যেকোন অতিরিক্ত স্পেস থাকে। সুতরাং, এই মত ডস পাথ:
-
গ: উদাহরণ উদাহরণ।
-
গ: উদাহরণ উদাহরণ…
-
গ: উদাহরণ উদাহরণ
…সবগুলোই NT পাথ হিসেবে "??C:exampleexample"-এ রূপান্তরিত হয়।
ইয়ার আবিষ্কার করেছেন যে এই স্বয়ংক্রিয়ভাবে ভ্রান্ত অক্ষরগুলি থেকে বের করে দেওয়া আক্রমণকারীদের বিশেষভাবে তৈরি করা DOS পাথগুলি তৈরি করতে দেয় যা তাদের পছন্দের NT পাথে রূপান্তরিত হবে - যা পরে ফাইলগুলিকে অব্যবহারযোগ্য রেন্ডার করতে বা দূষিত বিষয়বস্তু এবং ক্রিয়াকলাপগুলি গোপন করতে ব্যবহার করা যেতে পারে।
একটি আনপ্রিভিলেজড রুটকিট অনুকরণ করা
ম্যাজিকডট সমস্যাগুলি প্রথম এবং সর্বাগ্রে বেশ কয়েকটি পোস্ট-শোষণ কৌশলগুলির জন্য সুযোগ তৈরি করে যা একটি মেশিনে আক্রমণকারীদের স্টিলথ বজায় রাখতে সহায়তা করে।
উদাহরণস্বরূপ, দূষিত বিষয়বস্তু লক আপ করা এবং ব্যবহারকারীদের, এমনকি প্রশাসকদেরও এটি পরীক্ষা করা থেকে আটকানো সম্ভব। "একটি দূষিত ফাইলের নামের শেষে একটি সাধারণ ট্রেইলিং ডট স্থাপন করে বা শুধুমাত্র ডট এবং/অথবা স্পেস সহ একটি ফাইল বা একটি ডিরেক্টরির নামকরণ করে, আমি সাধারণ API ব্যবহার করে এমন সমস্ত ব্যবহারকারী-স্পেস প্রোগ্রামগুলিকে তাদের কাছে অ্যাক্সেসযোগ্য করে তুলতে পারি... তাদের সাথে পড়তে, লিখতে, মুছতে বা অন্য কিছু করতে সক্ষম হবেন না, ইয়ার সেশনে ব্যাখ্যা করেছিলেন।
তারপরে, একটি সম্পর্কিত আক্রমণে, ইয়ার আবিষ্কার করেছে যে কৌশলটি সংরক্ষণাগার ফাইলগুলির মধ্যে ফাইল বা ডিরেক্টরিগুলি লুকানোর জন্য ব্যবহার করা যেতে পারে।
ইয়ার বলেন, "এক্সপ্লোরারকে তালিকাভুক্ত করা বা বের করা থেকে বিরত রাখার জন্য আমি একটি সংরক্ষণাগারে একটি ফাইলের নাম একটি ডট সহ শেষ করেছি," ইয়ার বলেছেন। "ফলস্বরূপ, আমি একটি নির্দোষ জিপের ভিতরে একটি দূষিত ফাইল রাখতে সক্ষম হয়েছিলাম - যে কেউ সংরক্ষণাগারের বিষয়বস্তু দেখতে এবং বের করার জন্য এক্সপ্লোরার ব্যবহার করে সেই ফাইলটি ভিতরে বিদ্যমান দেখতে অক্ষম ছিল।"
তৃতীয় আক্রমণের পদ্ধতিতে বৈধ ফাইল পাথের ছদ্মবেশী করে দূষিত বিষয়বস্তুকে মাস্ক করা জড়িত।
"যদি 'সৌম্য' নামে একটি নিরীহ ফাইল থাকত, তবে আমি একই ডিরেক্টরিতে একটি দূষিত ফাইল তৈরি করতে [ডস-টু-এনটি পাথ রূপান্তর ব্যবহার] করতে সক্ষম হতাম [এছাড়াও নাম দেওয়া] সৌম্য," গবেষক ব্যাখ্যা করেছেন, যোগ করেছেন যে একই পন্থাটি ফোল্ডার এবং এমনকি বৃহত্তর উইন্ডোজ প্রক্রিয়ার ছদ্মবেশ ধারণ করতে ব্যবহার করা যেতে পারে। "ফলস্বরূপ, যখন একজন ব্যবহারকারী দূষিত ফাইলটি পড়েন, তখন আসল ক্ষতিহীন ফাইলের বিষয়বস্তুটি তার পরিবর্তে ফেরত দেওয়া হবে," শিকারকে বুদ্ধিমান করে না যে তারা আসলে দূষিত সামগ্রী খুলছে।
একসাথে নেওয়া, ম্যাজিকডট পাথগুলিকে ম্যানিপুলেট করা প্রতিপক্ষকে অ্যাডমিন সুবিধা ছাড়াই রুটকিটের মতো ক্ষমতা প্রদান করতে পারে, ইয়ার ব্যাখ্যা করেছেন, যিনি প্রকাশ করেছেন বিস্তারিত প্রযুক্তিগত নোট সেশনের সাথে তাল মিলিয়ে আক্রমণের পদ্ধতির উপর।
“আমি খুঁজে পেয়েছি যে আমি ফাইল এবং প্রক্রিয়াগুলি লুকিয়ে রাখতে পারি, সংরক্ষণাগারে ফাইলগুলি লুকিয়ে রাখতে পারি, প্রিফেচ ফাইল বিশ্লেষণকে প্রভাবিত করতে পারি, টাস্ক ম্যানেজার এবং প্রসেস এক্সপ্লোরার ব্যবহারকারীদের মনে করতে পারি যে একটি ম্যালওয়্যার ফাইল মাইক্রোসফ্ট দ্বারা প্রকাশিত একটি যাচাইকৃত এক্সিকিউটেবল ছিল, পরিষেবা অস্বীকার করে প্রসেস এক্সপ্লোরারকে অক্ষম করতে পারি (DoS) দুর্বলতা, এবং আরও অনেক কিছু,” তিনি বলেন—প্রশাসক বিশেষাধিকার বা কার্নেলে কোড চালানোর ক্ষমতা ছাড়াই এবং এপিআই কলের শৃঙ্খলে হস্তক্ষেপ ছাড়াই যা তথ্য পুনরুদ্ধার করে।
"এটি গুরুত্বপূর্ণ যে সাইবার সিকিউরিটি সম্প্রদায় এই ঝুঁকিটি স্বীকার করে এবং সুবিধাবিহীন রুটকিট সনাক্তকরণ কৌশল এবং নিয়ম বিকাশের কথা বিবেচনা করে," তিনি সতর্ক করেছিলেন।
'ম্যাজিকডট' দুর্বলতার একটি সিরিজ
ম্যাজিকডট পাথগুলিতে তার গবেষণার সময়, ইয়ার অন্তর্নিহিত সমস্যার সাথে সম্পর্কিত চারটি ভিন্ন দুর্বলতাও উন্মোচন করতে সক্ষম হয়েছিল, যার মধ্যে তিনটি মাইক্রোসফ্ট দ্বারা প্যাচ করা হয়েছে।
ওয়ান রিমোট কোড এক্সিকিউশন (RCE) দুর্বলতা (জন্য CVE-2023-36396, CVSS 7.8) সমস্ত নতুন সমর্থিত আর্কাইভ প্রকারের জন্য উইন্ডোজের নতুন নিষ্কাশন যুক্তিতে আক্রমণকারীদের একটি ক্ষতিকারক সংরক্ষণাগার তৈরি করতে দেয় যা একবার বের করা হলে দূরবর্তী কম্পিউটারে তারা যে কোনও জায়গায় লিখতে পারে, যা কোড সম্পাদনের দিকে নিয়ে যায়।
"
মূলত, ধরা যাক আপনি একটি আর্কাইভ আপলোড করেছেন আপনার GitHub সংগ্রহস্থল ডাউনলোডের জন্য উপলব্ধ একটি দুর্দান্ত সরঞ্জাম হিসাবে এটিকে বিজ্ঞাপন দিচ্ছে,” ইয়ার ডার্ক রিডিংকে বলে৷ "এবং ব্যবহারকারী যখন এটি ডাউনলোড করে, এটি একটি কার্যকরীযোগ্য নয়, আপনি কেবল সংরক্ষণাগারটি বের করেন, যা কোনও নিরাপত্তা ঝুঁকি ছাড়াই একটি সম্পূর্ণ নিরাপদ পদক্ষেপ হিসাবে বিবেচিত হয়৷ কিন্তু এখন, নিষ্কাশন নিজেই আপনার কম্পিউটারে কোড চালাতে সক্ষম, এবং এটি গুরুতরভাবে ভুল এবং খুব বিপজ্জনক।"
একটি দ্বিতীয় বাগ হল বিশেষাধিকারের উচ্চতা (EoP) দুর্বলতা (জন্য CVE-2023-32054, CVSS 7.3) যা আক্রমণকারীদের একটি ছায়া অনুলিপি থেকে পূর্ববর্তী সংস্করণের পুনরুদ্ধার প্রক্রিয়াকে ম্যানিপুলেট করে বিশেষ সুবিধা ছাড়াই ফাইলগুলিতে লিখতে দেয়।
তৃতীয় বাগ হল অ্যান্টি-অ্যানালাইসিস বাগের জন্য প্রসেস এক্সপ্লোরার আনপ্রিভিলেজড ডস, যার জন্য CVE-2023-42757 সংরক্ষিত করা হয়েছে, যার বিস্তারিত অনুসরণ করতে হবে। এবং চতুর্থ বাগ, এছাড়াও একটি EoP সমস্যা, সুবিধাবিহীন আক্রমণকারীদের ফাইল মুছে ফেলার অনুমতি দেয়। মাইক্রোসফ্ট নিশ্চিত করেছে যে ত্রুটিটি "অপ্রত্যাশিত আচরণ" এর দিকে পরিচালিত করেছে, তবে এখনও এটির জন্য একটি CVE বা একটি ফিক্স জারি করেনি।
"আমি ডেমো ফোল্ডারের ভিতরে একটি ফোল্ডার তৈরি করি যার নাম … এবং ভিতরে, আমি c.txt নামে একটি ফাইল লিখি,” ইয়ার ব্যাখ্যা করেন। "তারপর যখন একজন প্রশাসক মুছে ফেলার চেষ্টা করে ... ফোল্ডার, পরিবর্তে পুরো ডেমো ফোল্ডার মুছে ফেলা হয়।"
সম্ভাব্য বিস্তৃত 'ম্যাজিকডট' বিশৃঙ্খলতা
মাইক্রোসফ্ট ইয়ার-এর নির্দিষ্ট দুর্বলতাগুলিকে সম্বোধন করার সময়, পিরিয়ড এবং স্পেসগুলির ডস-টু-এনটি পাথ রূপান্তর অটো-স্ট্রিপিং অব্যাহত থাকে – যদিও এটি দুর্বলতার মূল কারণ।
"এর মানে এই সমস্যাটি ব্যবহার করে খুঁজে বের করার জন্য আরও অনেক সম্ভাব্য দুর্বলতা এবং শোষণ-পরবর্তী কৌশল থাকতে পারে," গবেষক সতর্ক করেছেন। "এই সমস্যাটি এখনও বিদ্যমান এবং আরও অনেক সমস্যা এবং দুর্বলতার দিকে নিয়ে যেতে পারে, যা আমরা যা জানি তার চেয়ে অনেক বেশি বিপজ্জনক হতে পারে।"
তিনি যোগ করেছেন যে সমস্যাটির মাইক্রোসফ্টের বাইরেও প্রভাব রয়েছে।
"আমরা বিশ্বাস করি যে প্রভাবগুলি কেবলমাত্র মাইক্রোসফ্ট উইন্ডোজের জন্যই প্রাসঙ্গিক নয়, যা বিশ্বের সর্বাধিক ব্যবহৃত ডেস্কটপ ওএস, তবে সমস্ত সফ্টওয়্যার বিক্রেতাদের জন্যও, যাদের বেশিরভাগই তাদের সফ্টওয়্যারের সংস্করণ থেকে সংস্করণ পর্যন্ত পরিচিত সমস্যাগুলিকে অব্যাহত রাখার অনুমতি দেয়," তিনি সতর্ক করেছিলেন। .
ইতিমধ্যে, সফ্টওয়্যার বিকাশকারীরা ডস পাথের পরিবর্তে এনটি পাথগুলি ব্যবহার করে এই ধরণের দুর্বলতার বিরুদ্ধে তাদের কোডকে নিরাপদ করতে পারে, তিনি উল্লেখ করেছেন।
"উইন্ডোজে বেশিরভাগ উচ্চ-স্তরের API কল এনটি পাথ সমর্থন করে," ইয়ার বলেন। "এনটি পাথ ব্যবহার করা রূপান্তর প্রক্রিয়াকে এড়িয়ে যায় এবং নিশ্চিত করে যে প্রদত্ত পথটি সেই একই পথ যা প্রকৃতপক্ষে পরিচালিত হচ্ছে।"
ব্যবসার জন্য, নিরাপত্তা দলগুলির সনাক্তকরণগুলি তৈরি করা উচিত যা ফাইল পাথের মধ্যে দুর্বৃত্ত সময়কাল এবং স্পেসগুলির সন্ধান করে৷
“এমন বেশ সহজ সনাক্তকরণ রয়েছে যা আপনি এইগুলির জন্য বিকাশ করতে পারেন, ফাইল বা ডিরেক্টরিগুলি সন্ধান করতে, যেগুলিতে পিছনের বিন্দু বা স্পেস রয়েছে, কারণ আপনি যদি আপনার কম্পিউটারে সেগুলি খুঁজে পান তবে এর অর্থ কেউ এটি উদ্দেশ্যমূলকভাবে করেছে কারণ এটি নয়। এটা করা সহজ,” ইয়ার ব্যাখ্যা করেন। “সাধারণ ব্যবহারকারীরা কেবল একটি ডট বা স্পেস দিয়ে শেষের ফাইল তৈরি করতে পারে না, মাইক্রোসফ্ট এটি প্রতিরোধ করবে। আক্রমণকারীদের একটি ব্যবহার করতে হবে নিম্ন API এটি কার্নেলের কাছাকাছি, এবং এটি সম্পন্ন করার জন্য কিছু দক্ষতার প্রয়োজন হবে।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit
