ডেল
উইন্ডোজ অপারেটিং সিস্টেম চালিত ডেল পিসিগুলি 'উচ্চ তীব্রতা' সুরক্ষার দুর্বলতার জন্য দুর্বল। স্পষ্টতই, ডেলের সাপোর্ট অ্যাসিস্ট, একটি ইউটিলিটি যা সমস্যাগুলি সনাক্তকরণ এবং সমাধান করতে সহায়তা করে, আক্রমণকারীদের স্বাক্ষরবিহীন ও অনুমোদনবিহীন কোড সম্পাদন করে পিসিগুলির সম্পূর্ণ নিয়ন্ত্রণ অর্জন করতে পারে। সুরক্ষা হুমকির বিষয়ে সচেতন হয়ে, ডেল প্রায় মাসের মধ্যে সাপোর্টএসিস্টের জন্য দুটি সুরক্ষা প্যাচ প্রকাশ করেছে। যাইহোক, আনপ্যাচড সিস্টেমগুলি সুবিধা বর্ধনের আক্রমণে ঝুঁকির মধ্যে থেকে যায়।
ডেল স্রেফ সহায়তাঅ্যাসিস্ট সফ্টওয়্যারটির জন্য একটি দ্বিতীয় প্যাচ প্রকাশ করেছে। সফ্টওয়্যারটি মূলত সরঞ্জামগুলির একটি সেট যা অপারেটিং সিস্টেমের মধ্যে সাধারণ সমস্যা এবং সমস্যাগুলি নির্ণয়ে সহায়তা করে। অ্যাপ্লিকেশনটি এই সমস্যাগুলি সমাধান করার জন্য বেশ কয়েকটি পদ্ধতি সরবরাহ করে। ঘটনাক্রমে, আনুষ্ঠানিকভাবে ব্লাটওয়্যার হিসাবে উল্লেখ করা হয়, ডেলের সাপোর্টএসিসিস্ট ডেল বহনকারী বেশিরভাগ পিসিতে প্রাক ইনস্টলড। দুর্ভাগ্যক্রমে, সফ্টওয়্যারটির মধ্যে কয়েকটি বাগ সম্ভাব্যভাবে হ্যাকারদেরকে একটি দুর্বল বা অপ্রত্যাশিত কম্পিউটারের সাথে আপোস করার সুযোগ দিতে পারে।
সুরক্ষা উদ্বেগের সমাধান করে, ডেল ব্যবসার জন্য সাপোর্টএজিস্ট এবং হোম অফ সাপোর্টএসিসিস্টের জন্য আপডেটগুলি প্রকাশ করেছে। স্পষ্টতই, দুর্বলতাগুলি পিসি ডক্টর নামে একটি উপাদান থাকে। এই সফ্টওয়্যারটি মার্কিন যুক্তরাষ্ট্রের একটি সফটওয়্যার বিক্রেতার জনপ্রিয় পণ্য। বিক্রেতা অনেক পিসি নির্মাতারা পছন্দসই বিকাশকারী। পিসি ডক্টর মূলত হার্ডওয়্যার ডায়াগনস্টিকস সফ্টওয়্যার। OEMs নিয়মিত কোনও সিস্টেমের স্বাস্থ্যের নিরীক্ষণ করার জন্য তারা যে কম্পিউটারগুলি বিক্রয় করে সেগুলিতে সফ্টওয়্যার স্থাপন করে। পিসি ডাক্তার কেবল সাধারণ সমস্যাগুলি অনুসন্ধান করেন এবং সমাধান সরবরাহ করেন বা OEMs কে দূর থেকে সমস্যা নির্ণয় করতে সহায়তা করেন কিনা তা পরিষ্কার নয়।
ডেল নিঃশব্দে একটি সাপোর্টএজিস্ট দুর্বলতায় প্যাচ করলেন যা লক্ষ লক্ষ ব্যবহারকারীকে প্রভাবিত করেছে https://t.co/8IvaXbVzOJ দ্বারা @ জেফস্টোন 500 pic.twitter.com/5v074lNXy7
- সাইবারস্কুপ (@ সাইবারস্কোপ নিউজ) 21 ই জুন, 2019
সাপোর্টঅ্যাসিস্ট জাহাজগুলি বেশিরভাগ ডেল ল্যাপটপ এবং উইন্ডোজ 10 চালিত কম্পিউটারগুলির সাথে চালিত হয়। এই বছরের এপ্রিলে ডেল একটি গুরুতর সুরক্ষা বাগের জন্য একটি প্যাচ প্রকাশ করেছিলেন যে পরে একটি স্বাধীন সুরক্ষা গবেষক খুঁজে পেয়েছিলেন যে সমর্থনের সরঞ্জামটি দূরবর্তী আক্রমণকারীরা লক্ষ লক্ষ দুর্বল সিস্টেমগুলি ধরে রাখতে ব্যবহার করতে পারে। বাগটি ডেলের সমর্থনঅ্যাসিস্ট কোডটিতেই বিদ্যমান ছিল। তবে, পিসি ডক্টর দ্বারা সরবরাহ করা একটি তৃতীয় পক্ষের সফ্টওয়্যার লাইব্রেরির ভিতরে সুরক্ষা দুর্বলতা উপস্থিত ছিল।
সুরক্ষা গবেষণাগুলি 'কমন.ডিল' নামে একটি ফাইলের ত্রুটি আবিষ্কার করেছিল discovered এটি অবিলম্বে পরিষ্কার করা যায় না যে সাপোর্টএসিসিস্ট এবং পিসি ডক্টর উভয়ই সুবিধাসমূহ বৃদ্ধির আক্রমণ চালানোর জন্য প্রয়োজন বা কেবল পিসি ডাক্তারই যথেষ্ট। বিশেষজ্ঞরা অবশ্য সাবধান করে দিয়েছেন যে ডেল ছাড়াও অন্যান্য ওএমএস, যারা এই সফ্টওয়্যারটির উপর নির্ভর করে, তাদের সমাধান হ্যাকের ঝুঁকিপূর্ণ না হওয়ার জন্য সুরক্ষা চেক চালানো উচিত should
প্যাচটি প্রকাশের পরে ডেল ইতিমধ্যে একটি সুরক্ষা পরামর্শ জারি করেছেন। ডেল তার ব্র্যান্ডযুক্ত পিসি ব্যবহারকারীদের ডেল সাপোর্টএসিস্ট আপডেট করার জন্য দৃ strongly়ভাবে অনুরোধ করছে। বিজনেস পিসিগুলির জন্য ডেল সাপোর্টএসিস্ট বর্তমানে ২.০ সংস্করণে রয়েছে এবং হোম পিসিগুলির জন্য ডেল সাপোর্টএসিস্ট সংস্করণ ৩.২.১-এ রয়েছে। প্যাচটি ইনস্টল হওয়ার পরে সংস্করণ নম্বরটি পরিবর্তিত করে।
বিভিন্ন সংস্করণ সংখ্যা থাকা সত্ত্বেও, ডেল সুরক্ষা দুর্বলতাটিকে একটি কোড, 'সিভিই-2019-12280' দিয়ে ট্যাগ করেছেন tag প্যাচটি ইনস্টল হওয়ার পরে, ব্যবসায় পিসিগুলির জন্য ডেল সাপোর্টএসিস্ট সংস্করণ ২.০.১ পেয়েছে এবং হোম পিসিগুলির সংস্করণটি ৩.২.২ পর্যন্ত যায়। পূর্ববর্তী সমস্ত সংস্করণগুলি সম্ভাব্য হুমকির জন্য অরক্ষিত থেকে যায়।
সাপোর্টঅ্যাসিস্ট, যা মিলিয়ন মিলিয়ন ডেল পিসিতে প্রাক ইনস্টল করা হয়, এটি পিসি-ডক্টর নামে একটি প্ল্যাটফর্মের উপর ভিত্তি করে তৈরি হয় এবং আক্রমণকারীদের হার্ডওয়্যার এবং সফ্টওয়্যারটিতে সিস্টেম-স্তরের অ্যাক্সেস দেওয়ার জন্য এটি অপব্যবহার করা যেতে পারে। https://t.co/C944bbNWYp
- টেকেরপলপ্যাটিক (@ টেকারপাবলিক) 21 ই জুন, 2019
সাপোর্টএ্যাসিস্ট কাজের সাথে ডেল পিসিগুলিতে কীভাবে প্রিভিলেজ এসক্লেশন আক্রমণ করে?
উপরে উল্লিখিত হিসাবে, সাপোর্টঅ্যাসিস্ট বেশিরভাগ ডেল ল্যাপটপ এবং উইন্ডোজ 10 চালিত কম্পিউটারগুলি সহ জাহাজগুলি। উইন্ডোজ 10 ডেল মেশিনে, 'ডেল হার্ডওয়্যার সাপোর্ট' নামে একটি উচ্চ-সুবিধাপূর্ণ পরিষেবা বেশ কয়েকটি সফ্টওয়্যার লাইব্রেরি সন্ধান করে। এটি এই সুরক্ষা সুবিধা এবং উচ্চতর সংখ্যক অনুরোধ এবং সফ্টওয়্যার লাইব্রেরিগুলির ডিফল্ট অনুমোদন যা স্থানীয় আক্রমণকারী দ্বারা বর্ধিত সুবিধার্থে ব্যবহার করতে পারে। এটি লক্ষণীয় গুরুত্বপূর্ণ যে পূর্ববর্তী সুরক্ষা দুর্বলতা দূরবর্তী আক্রমণকারীরা দ্বারা ব্যবহার করা যেতে পারে, তবে সম্প্রতি সন্ধান করা বাগের জন্য আক্রমণকারীকে একই নেটওয়ার্কে থাকা প্রয়োজন।
স্থানীয় আক্রমণকারী বা একজন নিয়মিত ব্যবহারকারী অপারেটিং সিস্টেমের স্তরে কোড এক্সিকিউশন অর্জনের জন্য একটি নিজস্ব সফ্টওয়্যার লাইব্রেরি প্রতিস্থাপন করতে পারে। এটি পিসি ডক্টর দ্বারা ব্যবহৃত একটি ইউটিলিটি লাইব্রেরি ব্যবহার করে অর্জন করা যেতে পারে যাকে কমন.ডিল বলে। এই ডিএলএল ফাইলটিকে যেভাবে চিকিত্সা করা হয় তাতে সমস্যাটি রয়েছে। স্পষ্টতই, প্রোগ্রামটি যে ডিএলএল এটি লোড করবে তা স্বাক্ষরিত কিনা তা বৈধতা দেয় না। একটি প্রতিস্থাপন এবং আপোস করা ডিএলএল ফাইলটিকে চেক না করা চালানো দেওয়া সর্বাধিক তীব্র সুরক্ষা ঝুঁকি।
আশ্চর্যের বিষয়, পিসি ছাড়াও, অন্যান্য সিস্টেমগুলি যা একই ডায়াগনস্টিক পরিষেবার জন্য তাদের ভিত্তি হিসাবে পিসি ডাক্তারের উপর নির্ভর করে সেগুলিও ঝুঁকিপূর্ণ হতে পারে। সর্বাধিক জনপ্রিয় পণ্যের মধ্যে রয়েছে কর্সার ডায়াগনস্টিকস, স্ট্যাপলস ইজিটেক ডায়াগনস্টিকস, টোবিআই-সিরিজ ডায়াগনস্টিক টুল ইত্যাদি etc.
ট্যাগ ডেল
