अनन्य ट्रेंड माइक्रो की ज़ीरो डे इनिशिएटिव टीम ने माइक्रोसॉफ्ट की ज़ीरो-डे भेद्यता को खोजने का दावा किया है और मई में रेडमंड को रिपोर्ट की थी, जिसका खुलासा विंडोज दिग्गज ने जुलाई के पैच मंगलवार में किया था – लेकिन ज़ेडडीआई को कोई श्रेय नहीं दिया गया था।
दोष, के रूप में पीछा किया सीवीई-2024-38112MSHTML उर्फ ट्राइडेंट उर्फ इंटरनेट एक्सप्लोरर के लिए माइक्रोसॉफ्ट के स्वामित्व वाले ब्राउज़र इंजन में है। रेडमंड बुलाया यह एक स्पूफिंग भेद्यता है, नोट किया गया कि इसका जंगली में शोषण किया गया था, और इसे 10 में से 7.5 का सीवीएसएस गंभीरता स्कोर दिया।
अपनी ओर से, ZDI का कहना है कि यह एक रिमोट कोड निष्पादन दोष है, जो संभवतः अधिक महत्वपूर्ण रेटिंग का हकदार है।
जेडडीआई में सुरक्षा जागरूकता खतरों के प्रमुख डस्टिन चिल्ड्स ने कहा, “वे कह रहे हैं कि हमने जो रिपोर्ट किया है वह सिर्फ एक रक्षा-गहन पैच था, लेकिन वे हमें यह नहीं बताएंगे कि वास्तव में वह गहन-रक्षा पैच क्या है।” रजिस्टर एक विशेष साक्षात्कार में.
हमने माइक्रोसॉफ्ट से टिप्पणी मांगी है और जब भी हमें जवाब मिलेगा हम इस लेख को अपडेट कर देंगे।
चाइल्ड्स के अनुसार, दुर्भाग्यपूर्ण घटनाओं की यह श्रृंखला न केवल माइक्रोसॉफ्ट के बग रिपोर्टिंग प्रोग्राम की समस्याओं को उजागर करती है, बल्कि सामान्य रूप से समन्वित भेद्यता प्रकटीकरण प्रक्रिया को भी उजागर करती है।
शुक्रवार दोपहर तक, उन्होंने अफसोस जताया, “इस समय माइक्रोसॉफ्ट के साथ फोन पर (ट्रेंड माइक्रो के) लोग हैं, जबकि हम यह बातचीत कर रहे हैं, अभी भी माइक्रोसॉफ्ट के साथ बात कर रहे हैं ताकि यह समझने की कोशिश कर सकें कि क्या हो रहा है। »
“मुझे यह कहने से नफरत है,” उन्होंने जारी रखा, “लेकिन ऐसा लगता है कि उन्हें वास्तव में इस बारे में कोई स्पष्ट जानकारी नहीं है कि इस पैच के साथ क्या हो रहा है। »
विक्रेता चाहते हैं कि शोधकर्ता उनके साथ पहले से समन्वय करें, लेकिन एक बार जब उन्हें बग मिल जाते हैं, तो वे शोधकर्ताओं के साथ समन्वय करना बंद कर देते हैं।
चिल्ड्स के अनुसार, ZDI ने भेद्यता देखी और मई के मध्य में Microsoft को इसकी सूचना दी। मंगलवार को सॉफ़्टवेयर अपडेट जारी होने तक टीम को कुछ भी नहीं पता चला।
चिल्ड्स ने कहा, “यह एक बहुत बढ़िया उपलब्धि है।” रजिस्टर“इन दुर्भावनापूर्ण अभिनेताओं ने एक ज़ोंबी इंटरनेट एक्सप्लोरर को पुनर्जीवित करने का एक तरीका ढूंढ लिया है। वे इंटरनेट एक्सप्लोरर प्राप्त करने में कामयाब रहे और फिर एक सूचना चुराने वाला डाउनलोड किया, और वास्तव में, वे क्रिप्टोकरेंसी वॉलेट की तलाश कर रहे थे। »
Microsoft ने स्पष्ट रूप से जून 2022 में इंटरनेट एक्सप्लोरर को अक्षम कर दिया, और अब मृत ब्राउज़र को अब सुरक्षा पैच प्राप्त नहीं होते हैं। 2024 में तेजी से आगे बढ़ते हुए, अपराधी इस निष्क्रिय ब्राउज़र को पुनर्जीवित कर रहे हैं और आधुनिक विंडोज सिस्टम पर नियंत्रण लेने के लिए इसका फायदा उठा रहे हैं।
ट्रेंड माइक्रो ने जंगल में CVE-2024-38112 का शोषण करने वाले हमलावरों को वॉयड बंशी करार दिया है। यह राज्य-स्तरीय साइबर अपराधियों की एक नई टीम है, और ट्रेंड ने अभी तक गिरोह को किसी विशेष क्षेत्र से नहीं जोड़ा है।
एक के अनुसार तकनीकी विश्लेषण ट्रेंड के पीटर गिरनस और अलीअकबर ज़हरावी द्वारा प्रकाशित एमएसएचटीएमएल बग का फायदा उठाते हुए, वॉयड बंशी ने उपयोगकर्ताओं के विंडोज पीसी पर अटलांटिडा जानकारी चोरी के मैलवेयर को अंजाम देने के लिए उत्तरी अमेरिका, यूरोप और दक्षिण पूर्व एशिया में संगठनों को लक्षित करने के लिए दोष का दुरुपयोग किया।
यदि हमें इस पर दांव लगाना है कि वॉयड बंशी के पीछे कौन है – यह देखते हुए कि अंतिम लक्ष्य क्रिप्टोकरेंसी चोरी प्रतीत होता है – तो हम उत्तर कोरिया पर दांव लगाएंगे।
Table of Contents
क्या हमें सीज़र के पास लौटना चाहिए जो सीज़र का है?
चिल्ड्स ने कहा, “इसलिए हमने माइक्रोसॉफ्ट को इस मुद्दे की सूचना दी, और पिछले सोमवार तक, जुलाई पैच मंगलवार से एक दिन पहले, इसे अभी भी एमएसआरसी द्वारा विकासाधीन के रूप में सूचीबद्ध किया गया था।” उन्होंने आगे कहा, इससे ZDI को यह विश्वास हो गया कि रेडमंड अगस्त तक दोष को ठीक नहीं करेगा। उन्होंने कहा कि जून से ट्रेंड ग्राहकों की सुरक्षा की गई है।
चिल्ड्स ने कहा, “हमारे आश्चर्य की बात है कि यह फीचर इस महीने के पैच मंगलवार रिलीज के साथ जारी किया गया था, जो बहुत दिलचस्प था क्योंकि एडवाइजरी में हमें बिल्कुल भी श्रेय नहीं दिया गया था।”
माइक्रोसॉफ्ट ने बग की खोज और खुलासा करने का श्रेय चेक प्वाइंट रिसर्च के हाइफेई ली को दिया। यह ध्यान दिया जाना चाहिए कि कई सुरक्षा टीमों द्वारा किसी उत्पाद में एक ही दोष की खोज करना और रिपोर्ट करना असामान्य नहीं है, खासकर जब इसका सक्रिय रूप से शोषण किया जाता है।
इंटरनेट एक्सप्लोरर MSHTML बग पर अपनी रिपोर्ट में, चेक प्वाइंट आगाह अपराधी कम से कम एक साल से इस खामी का फायदा उठा रहे थे।
मूल रूप से, ब्रांडों को एक दुर्भावनापूर्ण शॉर्टकट फ़ाइल खोलने के लिए धोखा दिया जाता है (जिसे एक संदिग्ध डाउनलोड साइट से .zip संग्रह में संग्रहीत किया जा सकता है) जो विंडोज पीसी के निष्क्रिय इंटरनेट एक्सप्लोरर को सक्रिय करता है और कंप्यूटर से समझौता करने के लिए इसका फायदा उठाता है, जिससे मैलवेयर संवेदनशील और मूल्यवान चोरी कर सकता है। पीड़ित से जानकारी. इस मैलवेयर को शोषण के बाद एक ज़हरीले HTML एप्लिकेशन के रूप में पेश किया जाता है जो VBScript के माध्यम से निष्पादित होने के लिए अधिक दुर्भावनापूर्ण कोड पेश करता है। पैच लगाने से ऐसा होने से रोकता है।
यहां तक कि ली भी माइक्रोसॉफ्ट के जुलाई अपडेट से आश्चर्यचकित दिखे।
उन्होंने कहा, “यह पहली बार नहीं है कि माइक्रोसॉफ्ट सिक्योरिटी रिस्पांस सेंटर ने हमें बताया है कि वह X महीने में समस्या को ठीक कर देगा, लेकिन हमें बताए बिना ही समस्या को जल्दी ही जारी कर दिया।” उत्साहित पैच मंगलवार को. “समन्वित प्रकटीकरण सरल एकतरफा समन्वय नहीं हो सकता। »
चाइल्ड्स के अनुसार, यही असली समस्या है। “विक्रेता चाहते हैं कि शोधकर्ता उनके साथ पहले से समन्वय करें, लेकिन एक बार जब उन्हें बग मिल जाता है, तो वे शोधकर्ताओं के साथ समन्वय करना बंद कर देते हैं, भले ही उन्होंने सार्वजनिक रूप से क्या कहा हो, और शोधकर्ता एक नाजुक स्थिति में पहुंच जाते हैं। »
“हम नहीं जानते कि क्या हो रहा है। हमें नहीं पता कि क्या होगा. हमें अक्सर सही ढंग से श्रेय नहीं दिया जाता। वे हमारे नाम गलत लिखते हैं और हम उन्हें मुफ्त में बग दे देते हैं। »
जब पूछा गया कि क्या यह एक उद्योग-व्यापी मुद्दा था या सिर्फ माइक्रोसॉफ्ट, चिल्ड्स ने बस कहा, “हां।” »
माइक्रोसॉफ्ट: यह एकमात्र बुरा व्यक्ति नहीं है
हालाँकि ZDI और अन्य ने अतीत में इस मुद्दे को विशेष रूप से Microsoft के साथ उठाया है, यह रेडमंड तक सीमित नहीं है। फीनिक्स कॉन्टैक्ट, ऑटोडेस्क ऑटोकैड और इवांति “समान रूप से दोषी हैं,” चिल्ड्स ने कहा, यह देखते हुए कि इवांति ने “नाटकीय रूप से सुधार किया है।”
इससे पहले, ZDI ने फ्रांसीसी सॉफ्टवेयर दिग्गज डसॉल्ट सिस्टम्स को 18 बग की सूचना दी थी, और कई खामियों के लिए केवल एक भेद्यता ट्रैकर प्राप्त हुआ था: सीवीई-2024-1847.
इसी तरह के एक मामले में, डेल्टा इलेक्ट्रॉनिक्स सौंपा गया 17 बग सबमिशन के लिए एक सीवीई – एक मुद्दा जो ट्रेंड में है ढका हुआ 2022 में ब्लैक हैट पर।
अभी हाल ही में, Rapid7 ने JetBrains को शर्मसार कर दिया टीमसिटी की खामियों के “असंगठित भेद्यता प्रकटीकरण” के लिए, और QNAP आग की चपेट में कुछ बग्स की गंभीरता को कम करने के लिए, जिसमें शून्य-दिन भी शामिल है।
“यह एक ऐसी स्थिति पैदा करता है जो वास्तव में शोधकर्ताओं को प्रदाताओं के प्रति जवाबदेही से बाहर कर देता है, जो निकट भविष्य में बहुत समस्याग्रस्त होने वाला है,” चिल्ड्स ने चेतावनी दी।
यदि बग शिकारी प्रभावित डेवलपर्स को कारनामों की रिपोर्ट नहीं करते हैं, और यदि वे विक्रेता अपने उत्पादों में कमजोरियों की गंभीरता और दायरे का सटीक खुलासा नहीं करते हैं, तो ग्राहकों को अंततः परिणाम भुगतना होगा।
चिल्ड्स ने कहा, “अंतिम उपयोगकर्ताओं को ही नुकसान उठाना पड़ रहा है।” “यदि वे अपने सिस्टम के जोखिमों का सटीक आकलन करने में असमर्थ हैं, तो वे समय पर पैच तैनात करने में सक्षम नहीं हो सकते हैं। »
यह निश्चित रूप से एक उद्योग-व्यापी समस्या है जिसे कई खिलाड़ी – अमेरिकी सरकार सहित – संबोधित करने के लिए काम कर रहे हैं, लेकिन समाधान सरल नहीं होगा। ट्रेंड, अपनी ओर से, भेद्यता प्रकटीकरण और पारदर्शी संचार में सफलता प्राप्त करने वाले शोधकर्ताओं और विक्रेताओं को उजागर करने के लिए इस साल के लास वेगास के ब्लैक हैट सम्मेलन में वैनगार्ड अवार्ड्स लॉन्च करेगा।
चिल्ड्स ने कहा, “कोई ‘असफल’ श्रेणी नहीं होगी क्योंकि हम त्रुटियों या गलत अनुमानों को उजागर करने के बजाय असाधारण काम को पुरस्कृत करना पसंद करते हैं।” लिखा माइक्रोसॉफ्ट के हालिया सीवीडी मुद्दे के बारे में आज एक ब्लॉग में।
हालाँकि, चिल्ड्स स्वीकार करते हैं कि टूटी हुई व्यवस्था को ठीक करने के लिए पुरस्कारों से अधिक की आवश्यकता होगी।
उन्होंने कहा, “आपूर्तिकर्ताओं को अपनी जानकारी बेहतर ढंग से संप्रेषित करने के लिए प्रोत्साहित करने के लिए वर्तमान में कोई प्रभावी उपाय नहीं हैं।” “यह एक सूक्ष्म जगत है, लेकिन यह एक क्षेत्रीय समस्या है। »®
रात्रि 8:30 यूटीसी पर जोड़ने के लिए अद्यतन किया गया
माइक्रोसॉफ्ट ने कहा कि उसने अब ZDI और ट्रेंड को श्रेय दिया है, हालांकि यह ‘गहराई में बचाव’ के रूप में है यहाँ MSHTML CVE के किसी भी लिंक के बिना। दरअसल, रेडमंड के अनुसार, CVE-2024-38112 के लिए मुख्य सलाहकार पृष्ठ पर, चेक प्वाइंट अभी भी बग की खोज करने वाले एकमात्र व्यक्ति के रूप में सूचीबद्ध है।
माइक्रोसॉफ्ट के प्रवक्ता ने आज हमें बताया, “जेडडीआई रिपोर्ट सीवीई के मानदंडों को पूरा नहीं करती है।” “हालांकि, चेकप्वाइंट की एक समान रिपोर्ट सीवीई के रूप में जारी की गई थी और अपडेट ने दोनों मुद्दों को ठीक कर दिया।
“तब से हमने तय की गई भेद्यता को अधिक सटीक रूप से प्रतिबिंबित करने के लिए अपने दस्तावेज़ को अद्यतन किया है। हमने ZDI और चेकपॉइंट के साथ इस मुद्दे पर चर्चा की है और अभी भी शोधकर्ताओं के लिए हमारे संचार और समर्थन को बेहतर बनाने के तरीकों की तलाश कर रहे हैं। »
चेक प्वाइंट से भी ली कहा ऐसा प्रतीत होता है कि CVE-2024-38112 के परिणामस्वरूप Microsoft की ओर से दो सुधार किए गए हैं।
