A day with Scandale - Harmonie Collection - Spring / Summer 2013
এসএমএল ফাইল শেয়ারিং প্রোটোকল ব্যবহার করে যে আক্রমণটি শুধুমাত্র এক দশকের বেশি সময় ধরে স্থানীয় এলাকার নেটওয়ার্কগুলির মধ্যে কাজ করার কথা বলেছে, এটি ইন্টারনেটের উপরও পরিচালিত হতে পারে, দুটি গবেষক ব্ল্যাক হ্যাট নিরাপত্তা সম্মেলনে দেখিয়েছে।
আক্রমণ, একটি এসএমএল রিলে বলা হয়, একটি উইন্ডোজ কম্পিউটার যা একটি অ্যাক্টিভ ডাইরেক্টরি ডোমেইনের অংশ একটি আক্রমণকারীকে ব্যবহারকারীর শংসাপত্রগুলি লিক করতে যখন একটি ওয়েব পৃষ্ঠা পরিদর্শন করে, Outlook এ একটি ইমেল পড়া বা উইন্ডোজ মিডিয়া প্লেয়ারে একটি ভিডিও খোলার জন্য।
যারা শংসাপত্রগুলি তারপর আক্রমণকারী দ্বারা যে কোনও উইন্ডোজ সার্ভারের ব্যবহারকারী হিসাবে প্রমাণীকরণের জন্য ব্যবহার করা হবে যেখানে ব্যবহারকারীর অ্যাকাউন্ট রয়েছে, ক্লাউডের হোস্ট করা সহ।
[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার অপসারণ কিভাবে করবেন ]একটি অ্যাক্টিভ ডাইরেক্টরি নেটওয়ার্কের মধ্যে, উইন্ডোজ কম্পিউটারগুলি স্বয়ংক্রিয়ভাবে তাদের শংসাপত্রগুলি প্রেরণ করে যখন তারা দূরবর্তী ফাইল শেয়ার, মাইক্রোসফ্ট এক্সচেঞ্জ ইমেইল সার্ভার অথবা শেয়ারপয়েন্ট এন্টারপ্রাইজ সহযোগিতার সরঞ্জামগুলির মতো বিভিন্ন ধরনের সেবা অ্যাক্সেস করতে চায়। এটি NTLM সংস্করণ 2 (NTLMv2) প্রমাণীকরণ প্রোটোকল এবং পাঠানো ক্রেডেনশিয়াল ব্যবহার করে সম্পন্ন করা হয় কম্পিউটার এবং ব্যবহারকারীর নামটি সাধারণ পাঠ্যে এবং একটি ক্রিপ্টোগ্রাফিক হ্যাশ যা ব্যবহারকারীর পাসওয়ার্ড থেকে প্রাপ্ত হয়।
2001 সালে নিরাপত্তা গবেষকরা এসএমএ রিলে যেখানে হামলাকারীরা একটি উইন্ডোজ কম্পিউটার এবং সার্ভারের মধ্যে নিজেদের অবস্থান নির্ধারণ করে প্রমাণপত্রগুলি হস্তান্তর করতে পারেন এবং তারপর ব্যবহারকারী হিসাবে প্রমাণীকরণের জন্য তাদের সার্ভারে ফেরত পাঠাতে পারেন।
এটি বিশ্বাস করা হয়েছিল যে এই হামলা স্থানীয় নেটওয়ার্কের মধ্যেই কাজ করেছিল। আসলে, ইন্টারনেট এক্সপ্লোরারের একটি ব্যবহারকারী প্রমাণীকরণ বিকল্প রয়েছে যা ডিফল্টভাবে "ইন্ট্রানেট জোনে স্বয়ংক্রিয় লগঅন" দ্বারা সেট করা হয়।
তবে, নিরাপত্তা গবেষকরা জনাথন ব্রোসাস এবং হরমাজড বিলিমিয়ারিয়া দেখেছেন যে এই বিকল্পটি উপেক্ষা করা হয়েছে এবং ব্রাউজারটি এটিকে প্রতারণা করতে পারে চুপি চুপি ব্যবহারকারীর অ্যাক্টিভ ডাইরেক্টরি ক্রেডেনশিয়াল- ব্যবহারকারীর নাম এবং পাসওয়ার্ড হ্যাশ -কে একটি আক্রমণকারী দ্বারা নিয়ন্ত্রিত ইন্টারনেটের রিমোট SMB সার্ভারে পাঠান।
তারা এই সমস্যাটি একটি উইন্ডোজ সিস্টেম DLL ফাইলে ট্র্যাক করে যা শুধু ইন্টারনেট এক্সপ্লোরারের জন্যই ব্যবহৃত হয় না, কিন্তু অনেক অ্যাপ্লিকেশন দ্বারা যেগুলি মাইক্রোসফ্ট আউটলুক, উইন্ডোজ মিডিয়া প্লেয়ার, সেইসাথে তৃতীয়-পক্ষের প্রোগ্রাম সহ URL গুলি অ্যাক্সেস করতে পারে।
যখন এই অ্যাপ্লিকেশানগুলির দ্বারা একটি URL অনুসন্ধান করা হয়, DLL যাচাইকরণের জন্য রেজিস্ট্রি সেটিংস পরীক্ষা করে, কিন্তু তারপর উপেক্ষা করে এটি, লাস ভেগাসের কনফারেন্সে তাদের উপস্থাপনে বলা হয়েছে।
এটি উইন্ডোজ এবং ইন্টারনেট এক্সপ্লোরার এর সব সমর্থিত সংস্করণগুলির জন্য সত্য, এটি নতুন রিলিজের প্রথম রিমোট আক্রমণ "উইন্ডোজ 10 এবং মাইক্রোসফ্ট এজ ব্রাউজার",
"
" "আমরা এই বিষয়ে সচেতন থাকি এবং এগুলি আরও অনুসন্ধান করছি", একটি মাইক্রোসফ্ট প্রতিনিধি বৃহস্পতিবার ইমেল মাধ্যমে।
একবার আক্রমণকারীদের ব্যবহারকারীর শংসাপত্র আছে, সেখানে আছে Brossard অনুযায়ী, বিভিন্ন উপায়ে তারা ব্যবহার করা যেতে পারে।
এক দৃশ্যকল্পে, তারা একটি এসএমএল রিলে আক্রমণ ব্যবহার করে ব্যবহারকারীর স্থানীয় নেটওয়ার্কের বাইরে হোস্ট করা সার্ভারের প্রত্যক্ষ প্রমাণ হিসাবে ব্যবহার করতে পারে যা NTLM নামে পরিচিত একটি বৈশিষ্ট্য ব্যবহার করে HTTP যে ক্লাউড পরিবেশে নেটওয়ার্ক বিস্তার মেটানোর জন্য চালু করা হয়েছিল। এইভাবে তারা সার্ভারের একটি দূরবর্তী শেল পেতে পারে যা মালওয়্যার ইনস্টল করতে বা অন্যান্য শোকার্ত চালানোর জন্য ব্যবহার করা যেতে পারে।
যদি দূরবর্তী সার্ভার একটি এক্সচেঞ্জ হয় তবে আক্রমণকারীরা ব্যবহারকারীর সমগ্র মেইলবক্সটি ডাউনলোড করতে পারে।
অন্য দৃশ্যকল্প হ্যাশ ক্র্যাক জড়িত এবং তারপর একটি দূরবর্তী ডেস্কটপ প্রোটোকল সার্ভার অ্যাক্সেস এটি ব্যবহার করে। এটি একাধিক GPUs এর ক্ষমতা সমন্বিত বিশেষ হার্ডওয়্যার রিগস বা পরিষেবাগুলি ব্যবহার করে করা যায়।
প্রায় আট দিনের মধ্যে আট অক্ষর বা তার কম পাসওয়ার্ড থাকতে পারে। চুরি হাশির একটি সম্পূর্ণ তালিকা ক্র্যাকিং একই সময় নিতে হবে, কারণ সব সম্ভাব্য অক্ষর সমন্বয় প্রক্রিয়া অংশ হিসাবে চেষ্টা করা হয়, তিনি বলেন ,.
ইন্টারনেটের উপর উইন্ডোজ শংসাপত্রগুলি চুরি করা এমন আক্রমণকারীদের জন্য উপযোগী হতে পারে যারা ইতোমধ্যে একটি স্থানীয় নেটওয়ার্কে রয়েছে, কিন্তু প্রশাসকের অনুমতি নেই তারপর তারা অ্যাডমিনিস্ট্রেটরকে একটি ইমেল বার্তা পাঠাতে পারে যেটি Outlook এর মধ্যে যখন দেখা হবে তখন তার প্রমাণপত্রগুলি ছিঁড়ে যাবে। আক্রমণকারীরা স্থানীয় নেটওয়ার্কে সার্ভারের বিরুদ্ধে এসএমবি রিলে আক্রমণ চালানোর জন্য চুরি করা হ্যাশ ব্যবহার করতে পারে।
এই ধরনের হামলাগুলি সীমাবদ্ধ করার জন্য বেশ কয়েকটি পদ্ধতি রয়েছে, কিন্তু তাদের মধ্যে কিছু উল্লেখযোগ্য দুর্বলতা রয়েছে।
প্যাকেট স্বাক্ষর করা একটি SMB বৈশিষ্ট্য সক্রিয় করা রিলে হামলা প্রতিরোধ, কিন্তু স্বীকৃতি না হয় স্বতন্ত্র বা হামলা যে হ্যাশ ক্র্যাক উপর নির্ভর করে, Brossard বলেন। এই বৈশিষ্ট্যটিও একটি উল্লেখযোগ্য পারফরম্যান্স প্রভাব যোগ করে।
সহায়তা করতে পারে এমন আরেকটি বৈশিষ্ট্য উইন্ডোজ প্রমাণীকরণের জন্য বর্ধিত সুরক্ষা বলা হয়, তবে এটি কনফিগার করা কঠিন, কারণ এটি সাধারণত কর্পোরেট নেটওয়ার্কগুলিতে সক্ষম নয়, গবেষক বলেন।
মাইক্রোসফ্ট স্থানীয় নেটওয়ার্ক ছেড়ে যাওয়ার জন্য SMB প্যাকেটগুলিকে ব্লক করতে ফায়ারওয়াল ব্যবহার করার পরামর্শ দেয়। এটি প্রমাণিত লিঙ্কে প্রতিরোধ করবে, কিন্তু কর্মচারী গতিশীলতা এবং ক্লাউড কম্পিউটিং এর বয়সে খুব ব্যবহারিক নয়, ব্রোসার্ড অনুযায়ী। গবেষক মনে করেন যে হোস্ট-ভিত্তিক ফিল্টারিং সমাধানটি আরো উপযুক্ত হবে।
ইন্টারনেটে বেরিয়ে যাওয়া 137, 138, 139 এবং 445 পোর্টে এসএমবি প্যাকগুলি ব্লক করতে ফায়ারওয়াল একসঙ্গে ব্যবহার করা যেতে পারে, তবে এখনও সেগুলি তাদের অনুমতি দেয় স্থানীয় নেটওয়ার্কে এটি ফাইল শেয়ারিং না ভাঙলে, তিনি বলেন।
মাধ্যমে অ্যাপ বাজারে তার পথ খুঁজে বের করে দেখায় মাইক্রোসফট বিনামূল্যে অফিসে চুক্তির মাধ্যমে অ্যাপ্লিকেশন বাজারে তার উপায় খুঁজে বের করে দেখায়
বিনামূল্যে জন্য অনেকগুলি বৈশিষ্ট্য অফার করার সিদ্ধান্ত আইওএস এবং অ্যান্ড্রয়েড ব্যবহারকারীদের আকৃষ্ট করার জন্য মাইক্রোসফটের সর্বশেষ প্রচেষ্টার মধ্যে রয়েছে।
গবেষকরা ইন্টারনেট থেকে উইন্ডোজ অ্যাক্টিভ ডিরেক্টরি শংসাপত্র চুরি করার উপায় খুঁজে বের করে
এই কৌশলটি আক্রমণকারীরা ক্লাউডে হোস্ট করা উইন্ডোজ সার্ভার আক্রমণ করতে পারে
