আইটি এবং নিরাপত্তা দলগুলির জন্য একটি রিফ্রেশিং বিরতি যা নিশ্চিত, 2023 সালের ডিসেম্বরের জন্য মাইক্রোসফ্টের মাসিক নিরাপত্তা আপডেটে সাম্প্রতিক মাসগুলির তুলনায় তাদের সমাধান করার জন্য কম দুর্বলতা রয়েছে।
আপডেটে মোট 36টি দুর্বলতার সমাধান অন্তর্ভুক্ত করা হয়েছে, যার মধ্যে চারটি মাইক্রোসফ্ট গুরুতর তীব্রতা হিসাবে চিহ্নিত করেছে, একটি মধ্যপন্থী হিসাবে এবং বাকিগুলি গুরুত্বপূর্ণ বা মাঝারি-তীব্রতার হুমকি হিসাবে চিহ্নিত করেছে৷ ডিসেম্বরের আপডেটে বাগগুলির মধ্যে এগারোটি - বা এক তৃতীয়াংশেরও বেশি - এমন সমস্যা যা হুমকি অভিনেতাদের শোষণ করার সম্ভাবনা বেশি। এটি এমন একটি বর্ণনা যা মাইক্রোসফ্ট বাগগুলির জন্য সংরক্ষণ করে যা সম্ভবত একটি হতে পারে৷ আক্রমণকারীদের জন্য আকর্ষণীয় লক্ষ্য এবং একটি তারা ধারাবাহিকভাবে শোষণ করতে পারে.
প্যাচ যে মাইক্রোসফ্ট আজ প্রকাশ করেছে একটি AMD চিপসেটে দুর্বলতার জন্য একটি অন্তর্ভুক্ত করুন (জন্য CVE-2023-20588) যার জন্য ধারণার প্রমাণ সর্বজনীনভাবে উপলব্ধ। কিন্তু এই বছর মাত্র দ্বিতীয়বারের জন্য, ডিসেম্বরের নিরাপত্তা আপডেটে কোনো সক্রিয়ভাবে শোষিত ত্রুটি নেই - এমন কিছু যা সাধারণত তাৎক্ষণিক প্রতিক্রিয়ার প্রয়োজন হয়।
প্রারম্ভিক ছুটির উপহার?
ইমারসিভ ল্যাবসের হুমকি গবেষণার সিনিয়র ডিরেক্টর কেভ ব্রেন বলেছেন, "ডিসেম্বরের প্যাচ মঙ্গলবারকে অল্প সংখ্যক প্যাচ সহ নিরাপত্তা দলগুলির জন্য একটি প্রাথমিক মৌসুমী উপহার বলে মনে হতে পারে এবং কোনওটিই বন্য অঞ্চলে শোষিত হিসাবে রিপোর্ট করা হয়নি।" "তবে এর অর্থ এই নয় যে কাউকে এক গ্লাস মল্ড ওয়াইন দিয়ে বিশ্রাম নেওয়া উচিত।" তিনি তুলনামূলকভাবে উচ্চ সংখ্যক CVE-এর দিকে ইঙ্গিত করেছিলেন যা মাইক্রোসফ্ট অধ্যবসায়ের একটি কারণ হিসাবে শোষিত হওয়ার সম্ভাবনা বেশি হিসাবে চিহ্নিত করেছে, বিশেষ করে এই দিনগুলিতে আক্রমণকারীরা কত দ্রুত নতুন ত্রুটির সুযোগ নেয়।
উল্লেখযোগ্যভাবে, প্যাচ আপডেটে 10টি বিশেষাধিকার বৃদ্ধিজনিত দুর্বলতার সমাধান রয়েছে, বাগগুলির একটি বিভাগ যা ধারাবাহিকভাবে দূরবর্তী কোড এক্সিকিউশন বাগগুলির তুলনায় তীব্রতাতে কম, তবে যা প্রায় সমান বিপজ্জনক, ব্রিন বলেছেন। "প্রায় প্রতিটি নিরাপত্তা লঙ্ঘনে একটি বিশেষাধিকার বৃদ্ধির পর্যায় থাকবে যা আক্রমণকারীকে সিস্টেম-স্তরের অনুমতি পেতে এবং সুরক্ষা সরঞ্জামগুলি অক্ষম করতে বা অন্যান্য আক্রমণ এবং সরঞ্জাম স্থাপন করতে সক্ষম করে," তিনি বলেছিলেন।
ডিসেম্বর ব্যাচে অগ্রাধিকার দিতে বাগ
স্বাভাবিকের থেকে বিরতিতে, নিরাপত্তা গবেষকরা সাম্প্রতিক ব্যাচের সবচেয়ে উল্লেখযোগ্য বাগ হিসেবে যা দেখেছেন তা নিয়ে কিছুটা ভিন্ন পদক্ষেপ নিয়েছেন। কিন্তু একটি ত্রুটি যা সর্বাধিক সম্মত হয়েছে তা হল একটি উচ্চ-প্রধান সমস্যা জন্য CVE-2023-35628, Windows MSHTML প্ল্যাটফর্মে একটি দূরবর্তী কোড এক্সিকিউশন বাগ৷ মাইক্রোসফ্ট সিভিএসএস স্কেলে বাগটিকে 8.1 এর মধ্যে 10 এর তীব্রতা রেটিং দিয়েছে এবং এটিকে একটি সমস্যা হিসাবে চিহ্নিত করেছে যে হুমকি অভিনেতাদের অপব্যবহারের সম্ভাবনা বেশি।
কোয়ালিসের দুর্বলতা এবং হুমকি গবেষণার ব্যবস্থাপক সাঈদ আব্বাসি বলেছেন, "প্রিভিউ প্যানে ইমেল দেখার ফলে সমস্যা দেখা দেয় এমন স্বাভাবিক ক্ষেত্রে থেকে ভিন্ন, সমস্যাটি এই সময়ের আগে ঘটে।" "আউটলুক ইমেলটি ডাউনলোড এবং পরিচালনা করার সাথে সাথেই সমস্যাটি ঘটে, এমনকি এটি পূর্বরূপ ফলকে দেখানোর আগেই।"
তিনি ভবিষ্যদ্বাণী করেছেন যে র্যানসমওয়্যার গ্যাং প্রবাহের সুবিধা নেওয়ার চেষ্টা করবে। "কিন্তু এটিকে সফলভাবে কাজে লাগানোর জন্য অত্যাধুনিক মেমরি-আকৃতির কৌশলের প্রয়োজন, যা একটি উল্লেখযোগ্য চ্যালেঞ্জ তৈরি করে," আব্বাসি যোগ করেন।
এছাড়াও বাগটির তীব্রতা বৃদ্ধি করা হল যে MSHTML হল HTML এবং অন্যান্য ব্রাউজার-ভিত্তিক সামগ্রী রেন্ডার করার জন্য Windows এর একটি মূল উপাদান। কম্পোনেন্টটি কেবল ব্রাউজারগুলির একটি অংশ নয় বরং মাইক্রোসফ্ট অফিস, আউটলুক, টিম এবং স্কাইপের মতো অ্যাপ্লিকেশনগুলিতেও রয়েছে, ব্রেন বলেন।
জেসন কিকতা, অটোমক্সের সিআইএসও, হাইলাইট করেছেন জন্য CVE-2023-35618, Microsoft-এর ক্রোমিয়াম-ভিত্তিক এজ ব্রাউজারে প্রিভিলেজ বাগের উচ্চতা, একটি সমস্যা হিসাবে যা সংস্থাগুলিকে অগ্রাধিকার ভিত্তিতে প্রশমিত করতে হবে। "এই দুর্বলতাকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে, তবে এটি উপেক্ষা করা উচিত নয়," কিকতা বলেছেন। "এটি সম্ভবত একটি ব্রাউজার স্যান্ডবক্স পালানোর দিকে নিয়ে যেতে পারে, মাইক্রোসফ্ট এজ এর সাধারণভাবে নিরাপদ ব্রাউজিং পরিবেশকে একটি সম্ভাব্য ঝুঁকিতে রূপান্তরিত করে।"
মাইক্রোসফ্ট নিজেই বাগটিকে সর্বাধিক সম্ভাব্য 9.6 এর মধ্যে 10 এর একটি CVSS তীব্রতা রেটিং দিয়েছে। একই সময়ে, ব্যবহারকারীর ইন্টারঅ্যাকশনের পরিমাণ এবং আক্রমণকারীর জন্য প্রয়োজনীয় পূর্বশর্তের কারণে কোম্পানিটি ত্রুটিটিকে শুধুমাত্র একটি মাঝারি-তীব্রতার দুর্বলতা সমস্যা হিসাবে মূল্যায়ন করেছে। এটা শোষণ করতে সক্ষম হতে.
ডিসেম্বর 2023 আপডেটে সাতটি রিমোট কোড কার্যকর করার দুর্বলতার মধ্যে দুটি উইন্ডোজের ইন্টারনেট সংযোগ শেয়ারিং (ICS) বৈশিষ্ট্যকে প্রভাবিত করে। উভয় দুর্বলতা - জন্য CVE-2023-35641 এবং জন্য CVE-2023-35630 — একটি অভিন্ন সিভিএসএস স্কোর 8.8, যদিও মাইক্রোসফ্ট শুধুমাত্র প্রাক্তনটিকে একটি দুর্বলতা হিসাবে চিহ্নিত করেছে যা আক্রমণকারীদের লক্ষ্য করার সম্ভাবনা বেশি।
অ্যাকশন 1-এর সভাপতি এবং সহ-প্রতিষ্ঠাতা মাইক ওয়াল্টার্স বলেছেন, "এই দুর্বলতাগুলি একই বৈশিষ্ট্যগুলি ভাগ করে, যার মধ্যে একটি সংলগ্ন আক্রমণ ভেক্টর, কম জটিলতা, কম সুবিধার প্রয়োজনীয়তা এবং কোনও ব্যবহারকারীর ইন্টারঅ্যাকশনের প্রয়োজন নেই।" "এই আক্রমণের সুযোগ আক্রমণকারী হিসাবে একই নেটওয়ার্ক সেগমেন্টের সিস্টেমে সীমাবদ্ধ, যার অর্থ এগুলি একাধিক নেটওয়ার্কে পরিচালিত হতে পারে না, যেমন একটি WAN।"
আরও দুটি দুর্বলতা যা নিরাপত্তা গবেষকরা বলেছেন মনোযোগের যোগ্য জন্য CVE-2023-35636, Outlook-এ একটি তথ্য প্রকাশের ত্রুটি, এবং জন্য CVE-2023-36696, Windows ক্লাউড ফাইল মিনি ফিল্টার ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা।
আব্বাসি বলেছেন CVE-2023-35636 আকর্ষণীয় কারণ এটি কোনও ব্যবহারকারীর ইমেলগুলির পূর্বরূপ দেখার সময় সমস্যা সৃষ্টি করে না। কিন্তু যদি অপব্যবহার করা হয় তবে এটি NTLM হ্যাশগুলিকে প্রকাশ করতে পারে যা হ্যাকাররা অন্য ব্যবহারকারী হওয়ার ভান করতে এবং একটি কোম্পানির নেটওয়ার্কের গভীরে যেতে ব্যবহার করতে পারে, তিনি যোগ করেন।
সামান্য বছর-ওভার-বছর পতন
টেনেবলের সিনিয়র স্টাফ রিসার্চ ইঞ্জিনিয়ার সাতনাম নারাং, মিনি ফিল্টার ড্রাইভের দুর্বলতাকে এমন কিছু হিসাবে বর্ণনা করেছেন যা একজন আক্রমণকারী সুযোগ-সুবিধা বাড়ানোর জন্য আপস-পরবর্তী কাজে ব্যবহার করতে পারে। মাইক্রোসফ্ট এই ড্রাইভারে বাগটি ষষ্ঠ এ জাতীয় দুর্বলতা প্রকাশ করেছে, তিনি বলেছিলেন।
“2023 সালের জন্য, মাইক্রোসফ্ট 909টি সিভিই প্যাচ করেছে, ক 0.87 থেকে 2022% এর সামান্য পতন, যা মাইক্রোসফ্ট প্যাচ 917 CVE দেখেছে,” নারাং বলেছেন। এর মধ্যে 23টি ছিল শূন্য-দিনের দুর্বলতা যা আক্রমণকারীরা সক্রিয়ভাবে শোষণ করছিল যখন Microsoft প্রকাশ করেছিল এবং তাদের জন্য একটি প্যাচ জারি করেছিল। শূন্য-দিনের অর্ধেকেরও বেশি ছিল বিশেষাধিকারের দুর্বলতার উচ্চতা, তিনি বলেছিলেন।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/vulnerabilities-threats/microsoft-gives-admins-a-reprieve-with-lighter-than-usual-patch-update
