ZDI ने समन्वित भेद्यता प्रकटीकरण के लिए Microsoft को शर्मिंदा किया • रजिस्टर

ZDI ने समन्वित भेद्यता प्रकटीकरण के लिए Microsoft को शर्मिंदा किया • रजिस्टर

अनन्य ट्रेंड माइक्रो की ज़ीरो डे इनिशिएटिव टीम ने माइक्रोसॉफ्ट की ज़ीरो-डे भेद्यता को खोजने का दावा किया है और मई में रेडमंड को रिपोर्ट की थी, जिसका खुलासा विंडोज दिग्गज ने जुलाई के पैच मंगलवार में किया था – लेकिन ज़ेडडीआई को कोई श्रेय नहीं दिया गया था।

दोष, के रूप में पीछा किया सीवीई-2024-38112MSHTML उर्फ ​​ट्राइडेंट उर्फ ​​इंटरनेट एक्सप्लोरर के लिए माइक्रोसॉफ्ट के स्वामित्व वाले ब्राउज़र इंजन में है। रेडमंड बुलाया यह एक स्पूफिंग भेद्यता है, नोट किया गया कि इसका जंगली में शोषण किया गया था, और इसे 10 में से 7.5 का सीवीएसएस गंभीरता स्कोर दिया।

अपनी ओर से, ZDI का कहना है कि यह एक रिमोट कोड निष्पादन दोष है, जो संभवतः अधिक महत्वपूर्ण रेटिंग का हकदार है।

जेडडीआई में सुरक्षा जागरूकता खतरों के प्रमुख डस्टिन चिल्ड्स ने कहा, “वे कह रहे हैं कि हमने जो रिपोर्ट किया है वह सिर्फ एक रक्षा-गहन पैच था, लेकिन वे हमें यह नहीं बताएंगे कि वास्तव में वह गहन-रक्षा पैच क्या है।” रजिस्टर एक विशेष साक्षात्कार में.

हमने माइक्रोसॉफ्ट से टिप्पणी मांगी है और जब भी हमें जवाब मिलेगा हम इस लेख को अपडेट कर देंगे।

चाइल्ड्स के अनुसार, दुर्भाग्यपूर्ण घटनाओं की यह श्रृंखला न केवल माइक्रोसॉफ्ट के बग रिपोर्टिंग प्रोग्राम की समस्याओं को उजागर करती है, बल्कि सामान्य रूप से समन्वित भेद्यता प्रकटीकरण प्रक्रिया को भी उजागर करती है।

शुक्रवार दोपहर तक, उन्होंने अफसोस जताया, “इस समय माइक्रोसॉफ्ट के साथ फोन पर (ट्रेंड माइक्रो के) लोग हैं, जबकि हम यह बातचीत कर रहे हैं, अभी भी माइक्रोसॉफ्ट के साथ बात कर रहे हैं ताकि यह समझने की कोशिश कर सकें कि क्या हो रहा है। »

“मुझे यह कहने से नफरत है,” उन्होंने जारी रखा, “लेकिन ऐसा लगता है कि उन्हें वास्तव में इस बारे में कोई स्पष्ट जानकारी नहीं है कि इस पैच के साथ क्या हो रहा है। »

विक्रेता चाहते हैं कि शोधकर्ता उनके साथ पहले से समन्वय करें, लेकिन एक बार जब उन्हें बग मिल जाते हैं, तो वे शोधकर्ताओं के साथ समन्वय करना बंद कर देते हैं।

चिल्ड्स के अनुसार, ZDI ने भेद्यता देखी और मई के मध्य में Microsoft को इसकी सूचना दी। मंगलवार को सॉफ़्टवेयर अपडेट जारी होने तक टीम को कुछ भी नहीं पता चला।

चिल्ड्स ने कहा, “यह एक बहुत बढ़िया उपलब्धि है।” रजिस्टर“इन दुर्भावनापूर्ण अभिनेताओं ने एक ज़ोंबी इंटरनेट एक्सप्लोरर को पुनर्जीवित करने का एक तरीका ढूंढ लिया है। वे इंटरनेट एक्सप्लोरर प्राप्त करने में कामयाब रहे और फिर एक सूचना चुराने वाला डाउनलोड किया, और वास्तव में, वे क्रिप्टोकरेंसी वॉलेट की तलाश कर रहे थे। »

Microsoft ने स्पष्ट रूप से जून 2022 में इंटरनेट एक्सप्लोरर को अक्षम कर दिया, और अब मृत ब्राउज़र को अब सुरक्षा पैच प्राप्त नहीं होते हैं। 2024 में तेजी से आगे बढ़ते हुए, अपराधी इस निष्क्रिय ब्राउज़र को पुनर्जीवित कर रहे हैं और आधुनिक विंडोज सिस्टम पर नियंत्रण लेने के लिए इसका फायदा उठा रहे हैं।

ट्रेंड माइक्रो ने जंगल में CVE-2024-38112 का शोषण करने वाले हमलावरों को वॉयड बंशी करार दिया है। यह राज्य-स्तरीय साइबर अपराधियों की एक नई टीम है, और ट्रेंड ने अभी तक गिरोह को किसी विशेष क्षेत्र से नहीं जोड़ा है।

एक के अनुसार तकनीकी विश्लेषण ट्रेंड के पीटर गिरनस और अलीअकबर ज़हरावी द्वारा प्रकाशित एमएसएचटीएमएल बग का फायदा उठाते हुए, वॉयड बंशी ने उपयोगकर्ताओं के विंडोज पीसी पर अटलांटिडा जानकारी चोरी के मैलवेयर को अंजाम देने के लिए उत्तरी अमेरिका, यूरोप और दक्षिण पूर्व एशिया में संगठनों को लक्षित करने के लिए दोष का दुरुपयोग किया।

यदि हमें इस पर दांव लगाना है कि वॉयड बंशी के पीछे कौन है – यह देखते हुए कि अंतिम लक्ष्य क्रिप्टोकरेंसी चोरी प्रतीत होता है – तो हम उत्तर कोरिया पर दांव लगाएंगे।

क्या हमें सीज़र के पास लौटना चाहिए जो सीज़र का है?

चिल्ड्स ने कहा, “इसलिए हमने माइक्रोसॉफ्ट को इस मुद्दे की सूचना दी, और पिछले सोमवार तक, जुलाई पैच मंगलवार से एक दिन पहले, इसे अभी भी एमएसआरसी द्वारा विकासाधीन के रूप में सूचीबद्ध किया गया था।” उन्होंने आगे कहा, इससे ZDI को यह विश्वास हो गया कि रेडमंड अगस्त तक दोष को ठीक नहीं करेगा। उन्होंने कहा कि जून से ट्रेंड ग्राहकों की सुरक्षा की गई है।

चिल्ड्स ने कहा, “हमारे आश्चर्य की बात है कि यह फीचर इस महीने के पैच मंगलवार रिलीज के साथ जारी किया गया था, जो बहुत दिलचस्प था क्योंकि एडवाइजरी में हमें बिल्कुल भी श्रेय नहीं दिया गया था।”

माइक्रोसॉफ्ट ने बग की खोज और खुलासा करने का श्रेय चेक प्वाइंट रिसर्च के हाइफेई ली को दिया। यह ध्यान दिया जाना चाहिए कि कई सुरक्षा टीमों द्वारा किसी उत्पाद में एक ही दोष की खोज करना और रिपोर्ट करना असामान्य नहीं है, खासकर जब इसका सक्रिय रूप से शोषण किया जाता है।

इंटरनेट एक्सप्लोरर MSHTML बग पर अपनी रिपोर्ट में, चेक प्वाइंट आगाह अपराधी कम से कम एक साल से इस खामी का फायदा उठा रहे थे।

मूल रूप से, ब्रांडों को एक दुर्भावनापूर्ण शॉर्टकट फ़ाइल खोलने के लिए धोखा दिया जाता है (जिसे एक संदिग्ध डाउनलोड साइट से .zip संग्रह में संग्रहीत किया जा सकता है) जो विंडोज पीसी के निष्क्रिय इंटरनेट एक्सप्लोरर को सक्रिय करता है और कंप्यूटर से समझौता करने के लिए इसका फायदा उठाता है, जिससे मैलवेयर संवेदनशील और मूल्यवान चोरी कर सकता है। पीड़ित से जानकारी. इस मैलवेयर को शोषण के बाद एक ज़हरीले HTML एप्लिकेशन के रूप में पेश किया जाता है जो VBScript के माध्यम से निष्पादित होने के लिए अधिक दुर्भावनापूर्ण कोड पेश करता है। पैच लगाने से ऐसा होने से रोकता है।

यहां तक ​​कि ली भी माइक्रोसॉफ्ट के जुलाई अपडेट से आश्चर्यचकित दिखे।

उन्होंने कहा, “यह पहली बार नहीं है कि माइक्रोसॉफ्ट सिक्योरिटी रिस्पांस सेंटर ने हमें बताया है कि वह X महीने में समस्या को ठीक कर देगा, लेकिन हमें बताए बिना ही समस्या को जल्दी ही जारी कर दिया।” उत्साहित पैच मंगलवार को. “समन्वित प्रकटीकरण सरल एकतरफा समन्वय नहीं हो सकता। »

चाइल्ड्स के अनुसार, यही असली समस्या है। “विक्रेता चाहते हैं कि शोधकर्ता उनके साथ पहले से समन्वय करें, लेकिन एक बार जब उन्हें बग मिल जाता है, तो वे शोधकर्ताओं के साथ समन्वय करना बंद कर देते हैं, भले ही उन्होंने सार्वजनिक रूप से क्या कहा हो, और शोधकर्ता एक नाजुक स्थिति में पहुंच जाते हैं। »

“हम नहीं जानते कि क्या हो रहा है। हमें नहीं पता कि क्या होगा. हमें अक्सर सही ढंग से श्रेय नहीं दिया जाता। वे हमारे नाम गलत लिखते हैं और हम उन्हें मुफ्त में बग दे देते हैं। »

जब पूछा गया कि क्या यह एक उद्योग-व्यापी मुद्दा था या सिर्फ माइक्रोसॉफ्ट, चिल्ड्स ने बस कहा, “हां।” »

माइक्रोसॉफ्ट: यह एकमात्र बुरा व्यक्ति नहीं है

हालाँकि ZDI और अन्य ने अतीत में इस मुद्दे को विशेष रूप से Microsoft के साथ उठाया है, यह रेडमंड तक सीमित नहीं है। फीनिक्स कॉन्टैक्ट, ऑटोडेस्क ऑटोकैड और इवांति “समान रूप से दोषी हैं,” चिल्ड्स ने कहा, यह देखते हुए कि इवांति ने “नाटकीय रूप से सुधार किया है।”

इससे पहले, ZDI ने फ्रांसीसी सॉफ्टवेयर दिग्गज डसॉल्ट सिस्टम्स को 18 बग की सूचना दी थी, और कई खामियों के लिए केवल एक भेद्यता ट्रैकर प्राप्त हुआ था: सीवीई-2024-1847.

इसी तरह के एक मामले में, डेल्टा इलेक्ट्रॉनिक्स सौंपा गया 17 बग सबमिशन के लिए एक सीवीई – एक मुद्दा जो ट्रेंड में है ढका हुआ 2022 में ब्लैक हैट पर।

अभी हाल ही में, Rapid7 ने JetBrains को शर्मसार कर दिया टीमसिटी की खामियों के “असंगठित भेद्यता प्रकटीकरण” के लिए, और QNAP आग की चपेट में कुछ बग्स की गंभीरता को कम करने के लिए, जिसमें शून्य-दिन भी शामिल है।

“यह एक ऐसी स्थिति पैदा करता है जो वास्तव में शोधकर्ताओं को प्रदाताओं के प्रति जवाबदेही से बाहर कर देता है, जो निकट भविष्य में बहुत समस्याग्रस्त होने वाला है,” चिल्ड्स ने चेतावनी दी।

यदि बग शिकारी प्रभावित डेवलपर्स को कारनामों की रिपोर्ट नहीं करते हैं, और यदि वे विक्रेता अपने उत्पादों में कमजोरियों की गंभीरता और दायरे का सटीक खुलासा नहीं करते हैं, तो ग्राहकों को अंततः परिणाम भुगतना होगा।

चिल्ड्स ने कहा, “अंतिम उपयोगकर्ताओं को ही नुकसान उठाना पड़ रहा है।” “यदि वे अपने सिस्टम के जोखिमों का सटीक आकलन करने में असमर्थ हैं, तो वे समय पर पैच तैनात करने में सक्षम नहीं हो सकते हैं। »

छेद

मेरी एलएलएम बग रिपोर्ट पर बिग टेक की प्रतिक्रिया विनाशकारी थी

आगे पढ़िए

यह निश्चित रूप से एक उद्योग-व्यापी समस्या है जिसे कई खिलाड़ी – अमेरिकी सरकार सहित – संबोधित करने के लिए काम कर रहे हैं, लेकिन समाधान सरल नहीं होगा। ट्रेंड, अपनी ओर से, भेद्यता प्रकटीकरण और पारदर्शी संचार में सफलता प्राप्त करने वाले शोधकर्ताओं और विक्रेताओं को उजागर करने के लिए इस साल के लास वेगास के ब्लैक हैट सम्मेलन में वैनगार्ड अवार्ड्स लॉन्च करेगा।

चिल्ड्स ने कहा, “कोई ‘असफल’ श्रेणी नहीं होगी क्योंकि हम त्रुटियों या गलत अनुमानों को उजागर करने के बजाय असाधारण काम को पुरस्कृत करना पसंद करते हैं।” लिखा माइक्रोसॉफ्ट के हालिया सीवीडी मुद्दे के बारे में आज एक ब्लॉग में।

हालाँकि, चिल्ड्स स्वीकार करते हैं कि टूटी हुई व्यवस्था को ठीक करने के लिए पुरस्कारों से अधिक की आवश्यकता होगी।

उन्होंने कहा, “आपूर्तिकर्ताओं को अपनी जानकारी बेहतर ढंग से संप्रेषित करने के लिए प्रोत्साहित करने के लिए वर्तमान में कोई प्रभावी उपाय नहीं हैं।” “यह एक सूक्ष्म जगत है, लेकिन यह एक क्षेत्रीय समस्या है। »®

रात्रि 8:30 यूटीसी पर जोड़ने के लिए अद्यतन किया गया

माइक्रोसॉफ्ट ने कहा कि उसने अब ZDI और ट्रेंड को श्रेय दिया है, हालांकि यह ‘गहराई में बचाव’ के रूप में है यहाँ MSHTML CVE के किसी भी लिंक के बिना। दरअसल, रेडमंड के अनुसार, CVE-2024-38112 के लिए मुख्य सलाहकार पृष्ठ पर, चेक प्वाइंट अभी भी बग की खोज करने वाले एकमात्र व्यक्ति के रूप में सूचीबद्ध है।

माइक्रोसॉफ्ट के प्रवक्ता ने आज हमें बताया, “जेडडीआई रिपोर्ट सीवीई के मानदंडों को पूरा नहीं करती है।” “हालांकि, चेकप्वाइंट की एक समान रिपोर्ट सीवीई के रूप में जारी की गई थी और अपडेट ने दोनों मुद्दों को ठीक कर दिया।

“तब से हमने तय की गई भेद्यता को अधिक सटीक रूप से प्रतिबिंबित करने के लिए अपने दस्तावेज़ को अद्यतन किया है। हमने ZDI और चेकपॉइंट के साथ इस मुद्दे पर चर्चा की है और अभी भी शोधकर्ताओं के लिए हमारे संचार और समर्थन को बेहतर बनाने के तरीकों की तलाश कर रहे हैं। »

चेक प्वाइंट से भी ली कहा ऐसा प्रतीत होता है कि CVE-2024-38112 के परिणामस्वरूप Microsoft की ओर से दो सुधार किए गए हैं।

Comments

No comments yet. Why don’t you start the discussion?

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा. आवश्यक फ़ील्ड चिह्नित हैं *