Η माइक्रोसॉफ्ट एक रिकॉर्ड को ठीक करने के लिए अप्रैल 2024 महीने के लिए सुरक्षा अद्यतन जारी किए गए 149 दोष , जिनमें से दो का जंगल में सक्रिय रूप से शोषण किया गया है।
149 दोषों में से तीन को गंभीर, 142 को महत्वपूर्ण, तीन को मध्यम और एक को कम गंभीरता का दर्जा दिया गया है। अद्यतन का प्रश्न ही नहीं उठता 21 कमजोरियाँ के रिलीज़ के बाद कंपनी को अपने क्रोमियम-आधारित एज ब्राउज़र में इसका सामना करना पड़ा मार्च मंगलवार 2024 पैच फिक्स .
जिन दो कमियों का सक्रिय रूप से फायदा उठाया गया है वे निम्नलिखित हैं -
- CVE-2024-26234 (सीवीएसएस स्कोर: 6,7) - प्रॉक्सी ड्राइवर भेद्यता को धोखा दे रहा है
- CVE-2024-29988 (सीवीएसएस स्कोर: 8,8) - स्मार्टस्क्रीन प्रॉम्प्ट सुरक्षा सुविधाएँ भेद्यता को बायपास करती हैं
जबकि माइक्रोसॉफ्ट की एडवाइजरी इसके बारे में जानकारी नहीं देती है CVE-2024-26234, साइबर कंपनीसुरक्षासोफोस ने कहा कि उसने दिसंबर 2023 में एक दुर्भावनापूर्ण निष्पादन योग्य ("कैटलॉग.exe" या "कैटलॉग प्रमाणीकरण क्लाइंट सेवा") की खोज की थी। पर हस्ताक्षर किए एक वैध माइक्रोसॉफ्ट विंडोज हार्डवेयर संगतता प्रकाशक से ( डब्ल्यूएचसीपी ) प्रमाणपत्र।
ऑथेंटिकोड विश्लेषण बाइनरी ने हैनान YouHu टेक्नोलॉजी कंपनी को मूल अनुरोध करने वाले प्रकाशक का खुलासा किया। लिमिटेड, जो लाईक्सी एंड्रॉइड स्क्रीन मिररिंग नामक एक अन्य टूल का प्रकाशक भी है।
उत्तरार्द्ध को "एक मार्केटिंग सॉफ़्टवेयर ... [जो] सैकड़ों मोबाइल फोन कनेक्ट कर सकता है और उन्हें बैचों में नियंत्रित कर सकता है और समूह ट्रैकिंग, लाइक और टिप्पणी जैसे कार्यों को स्वचालित कर सकता है" के रूप में वर्णित किया गया है।
अनुमानित प्रमाणीकरण सेवा के भीतर एक घटक है जिसे कहा जाता है 3प्रॉक्सी जो एक संक्रमित सिस्टम पर नेटवर्क ट्रैफ़िक की निगरानी और अवरोधन करने के लिए डिज़ाइन किया गया है, जो प्रभावी रूप से पिछले दरवाजे के रूप में कार्य करता है।
"हमारे पास यह सुझाव देने के लिए कोई सबूत नहीं है कि LaiXi डेवलपर्स ने जानबूझकर दुर्भावनापूर्ण फ़ाइल को अपने उत्पाद में एकीकृत किया है, या यह कि किसी खतरनाक अभिनेता ने इसे LaiXi एप्लिकेशन बिल्ड/बिल्ड प्रक्रिया में इंजेक्ट करने के लिए आपूर्ति श्रृंखला पर हमला किया है," उन्होंने कहा सोफोस के शोधकर्ता एंड्रियास क्लॉप्स्च। .
साइबर सुरक्षा फर्म ने यह भी कहा कि उसने 5 जनवरी, 2023 तक जंगल में पिछले दरवाजे के कई अन्य वेरिएंट की खोज की, यह दर्शाता है कि अभियान कम से कम तब से चल रहा है। माइक्रोसॉफ्ट ने तब से संबंधित फाइलों को अपनी रिकॉल सूची में जोड़ दिया है।
माइक्रोसॉफ्ट ने कहा, "इस सुरक्षा सुविधा की भेद्यता का फायदा उठाने के लिए, एक हमलावर को एक लॉन्चर का उपयोग करके उपयोगकर्ता को दुर्भावनापूर्ण फ़ाइलें लॉन्च करने के लिए राजी करना होगा जो अनुरोध करता है कि कोई उपयोगकर्ता इंटरफ़ेस प्रदर्शित न किया जाए।"
"ईमेल या इंस्टेंट मैसेजिंग हमले के परिदृश्य में, एक हमलावर लक्षित उपयोगकर्ता को रिमोट कोड निष्पादन भेद्यता का फायदा उठाने के लिए डिज़ाइन की गई एक विशेष रूप से तैयार की गई फ़ाइल भेज सकता है।"
शून्य दिवस पहल दिखाया गया कि इस खामी के जंगली तौर पर शोषण के सबूत हैं, हालाँकि माइक्रोसॉफ्ट ने इसे "सर्वाधिक संभावित शोषण" रेटिंग के साथ चिह्नित किया है।
एक अन्य महत्वपूर्ण मुद्दा असुरक्षा है सीवीई-2024-29990 (सीवीएसएस स्कोर: 9.0), माइक्रोसॉफ्ट एज़्योर कुबेरनेट्स सर्विस कंटेनर गोपनीय को प्रभावित करने वाले विशेषाधिकार दोष का एक उन्नयन जिसका उपयोग अप्रमाणित हमलावरों द्वारा क्रेडेंशियल चुराने के लिए किया जा सकता है।
रेडमंड ने कहा, "एक हमलावर नेटवर्क स्टैक से परे गोपनीय मेहमानों और कंटेनरों को अपने कब्जे में लेने के लिए अविश्वसनीय एकेएस कुबेरनेट्स नोड और एकेएस गोपनीय कंटेनर तक पहुंच सकता है।"
कुल मिलाकर, यह रिलीज़ 68 रिमोट कोड निष्पादन, 31 विशेषाधिकार वृद्धि, 26 सुरक्षा सुविधा बाईपास और छह डिनायल-ऑफ-सर्विस (DoS) बग को संबोधित करने के लिए उल्लेखनीय है। दिलचस्प बात यह है कि 24 सुरक्षा बायपास त्रुटियों में से 26 सुरक्षित बूट से संबंधित हैं।
“जबकि इनमें से कोई भी कमज़ोरी नहीं है सुरक्षित बूट इस महीने संबोधित किए गए मुद्दों का जंगल में शोषण नहीं किया गया था, वे एक अनुस्मारक के रूप में काम करते हैं कि सिक्योर बूट में खामियां अभी भी मौजूद हैं और हम भविष्य में और अधिक सिक्योर बूट से संबंधित दुर्भावनापूर्ण गतिविधि देख सकते हैं, ”टेनेबल के वरिष्ठ स्टाफ रिसर्च इंजीनियर सतनाम नारंग ने कहा। एक बयान।
यह रहस्योद्घाटन माइक्रोसॉफ्ट के अनुसार हुआ है आलोचना का सामना करना समीक्षा बोर्ड की हालिया रिपोर्ट के साथ, इसकी सुरक्षा प्रथाओं पर साइबर सुरक्षा(सीएसआरबी) ने कंपनी पर स्टॉर्म नामक चीनी धमकी देने वाले अभिनेता द्वारा चलाए गए साइबर जासूसी अभियान को रोकने के लिए पर्याप्त कदम नहीं उठाने का आरोप लगाया है। -0558 पिछले वर्ष।
यह कंपनी के निर्णय का भी पालन करता है मूल कारण डेटा प्रकाशित करें सामान्य कमज़ोरी गणना (सीडब्ल्यूई) उद्योग मानक का उपयोग करके सुरक्षा खामियों के लिए। हालाँकि, यह ध्यान देने योग्य है कि परिवर्तन केवल मार्च 2024 से प्रकाशित सलाह के साथ लागू होते हैं।
रैपिड7 के प्रमुख सॉफ्टवेयर इंजीनियर एडम बार्नेट ने द हैकर न्यूज के साथ साझा किए गए एक बयान में कहा, "माइक्रोसॉफ्ट की सुरक्षा सलाह में सीडब्ल्यूई आकलन जोड़ने से भेद्यता के समग्र मूल कारण की पहचान करने में मदद मिलती है।"
“सीडब्ल्यूई कार्यक्रम ने हाल ही में अपने मार्गदर्शन को अद्यतन किया है सीवीई को सीडब्ल्यूई मूल कारण से मैप करना . सीडब्ल्यूई रुझानों का विश्लेषण करने से डेवलपर्स को बेहतर सॉफ्टवेयर डेवलपमेंट लाइफ साइकल (एसडीएलसी) वर्कफ़्लो और परीक्षण के माध्यम से भविष्य में होने वाली घटनाओं को कम करने में मदद मिल सकती है, साथ ही रक्षकों को यह समझने में मदद मिल सकती है कि निवेश पर बेहतर रिटर्न के लिए गहन रक्षा प्रयासों और सख्त विकास को कहां निर्देशित किया जाए।
संबंधित विकास में, साइबर सुरक्षा फर्म वरोनिस ने दो तरीकों का खुलासा किया है जो हमलावर ऑडिट लॉग को बायपास करने के लिए अपना सकते हैं और SharePoint से फ़ाइलें निर्यात करते समय डाउनलोड ईवेंट को ट्रिगर करने से बच सकते हैं।
पहला दृष्टिकोण फ़ाइलों तक पहुंचने और डाउनलोड करने के लिए SharePoint की "ओपन इन ऐप" सुविधा का लाभ उठाता है, जबकि दूसरा फ़ाइलों या यहां तक कि संपूर्ण साइटों को डाउनलोड करने के लिए Microsoft स्काईड्राइवसिंक के लिए उपयोगकर्ता एजेंट का उपयोग करता है, ऐसी घटनाओं को डाउनलोड के बजाय फ़ाइल सिंक के रूप में गलत वर्गीकृत करता है।
"ये तकनीकें डाउनलोड को कम संदिग्ध पहुंच और सिंक्रनाइज़ेशन घटनाओं के रूप में छिपाकर, पारंपरिक उपकरणों, जैसे क्लाउड एक्सेस सुरक्षा दलालों, डेटा हानि रोकथाम और एसआईईएम की पहचान और प्रवर्तन नीतियों को बायपास कर सकती हैं।" उन्होंने कहा एरिक सारागा.
तृतीय-पक्ष सॉफ़्टवेयर ठीक करता है
Microsoft के अलावा, कई कमजोरियों को ठीक करने के लिए हाल के सप्ताहों में अन्य विक्रेताओं द्वारा भी सुरक्षा अद्यतन जारी किए गए हैं, जिनमें शामिल हैं:
- एडोब
- एएमडी
- Android
- C++ के लिए अपाचे XML सुरक्षा
- अरूबा नेटवर्क
- अधिनियमों
- बॉश
- सिस्को
- D-लिंक
- दोन
- Drupal
- F5
- फोर्टीनेट
- फोर्ट्रा
- GitLab
- Google Chrome
- Google मेघ
- गूगल पिक्सेल
- HIKVISION
- हिताची एनर्जी
- HP
- एचपी एंटरप्राइज
- HTTP / 2
- आईबीएम
- इवन्ति
- जेनकींस
- लेनोवो
- एलजी वेबओएस
- लिनक्स वितरण डेबियन, ओरेकल लिनक्स, कार्डिनल की टोपी, SUSE, तथा Ubuntu
- मीडियाटेक
- मोज़िला फ़ायरफ़ॉक्स, फ़ायरफ़ॉक्स ईएसआर और थंडरबर्ड
- NETGEAR
- NVIDIA
- क्वालकॉम
- Rockwell स्वचालन
- जंग
- सैमसंग
- एसएपी
- श्नाइडर इलेक्ट्रिक
- सीमेंस
- Splunk
- SYNOLOGY
- VMware
- WordPress
- ज़ूम
