এই সপ্তাহে, আমরা শেষ পর্যন্ত কিছু পুরানো গল্পের ভিতরের স্কুপগুলি পেয়েছি, শুরু করে বিটওয়ার্ডেন উইন্ডোজ হ্যালো সমস্যা গত বছর থেকে. আপনার মনে থাকতে পারে, বিটওয়ার্ডেনের কাছে একটি ভল্ট আনলক বিকল্প হিসাবে উইন্ডোজ হ্যালো ব্যবহার করার একটি বিকল্প রয়েছে। দুর্ভাগ্যবশত, উইন্ডোজ ক্রেডেনশিয়াল API প্রকৃতপক্ষে শংসাপত্রগুলিকে এমনভাবে এনক্রিপ্ট করে না যাতে আনলক করার জন্য একটি অতিরিক্ত Windows Hello যাচাইকরণের প্রয়োজন হয়। তাই একটি প্রাপ্ত কী শংসাপত্র ম্যানেজারের কাছে সংরক্ষণ করা হয় এবং একটি সাধারণ API কলের মাধ্যমে পুনরুদ্ধার করা যেতে পারে। অতিরিক্ত বায়োমেট্রিক্সের প্রয়োজন নেই। এমনকি বিটওয়ার্ডেন ভল্ট লক করা এবং অ্যাপ্লিকেশন বন্ধ করে দেওয়া হয়েছে।
আরেকটি বিপদ আছে, যার জন্য লগ-ইন মেশিনে অ্যাক্সেসেরও প্রয়োজন নেই। একটি ডোমেনের সাথে যুক্ত একটি মেশিনে, উইন্ডোজ সেই এনক্রিপশন কীগুলিকে ডোমেন কন্ট্রোলারে ব্যাক আপ করে। এনক্রিপ্ট করা ভল্টটি ডিফল্টরূপে SMB এর উপর একটি ডোমেন মেশিনে উপলব্ধ। একটি আপোসকৃত ডোমেন কন্ট্রোলার টার্গেট মেশিনে কোড না চালিয়েও একটি বিটওয়ার্ডেন ভল্ট ছিনিয়ে নিতে পারে। সুসংবাদটি হল যে বিটওয়ার্ডেন এবং উইন্ডোজ হ্যালোর সাথে এই বিশেষ সমস্যাটি এখন স্থির করা হয়েছে এবং তখন থেকেই হয়েছে 2023.10.1 সংস্করণ.
বিপরীত RDP শোষণ
আমরা সাধারণত রিমোট ডেস্কটপ প্রোটোকলকে ইন্টারনেটে প্রকাশ করা বিপজ্জনক বলে মনে করি। এবং এটা করা হয়. আপনার আরডিপি পরিষেবা অনলাইনে রাখবেন না। কিন্তু বিপরীত RDP এই ধারণা যে একটি RDP ক্লায়েন্টকে একটি দূষিত সার্ভারের সাথে সংযোগ করা বিপজ্জনক হতে পারে। এবং অবশ্যই, একাধিক RDP বাস্তবায়নে এই সমস্যা আছে। আছে rdesktop, FreeRDP, এবং Microsoft এর নিজস্ব mstsc যেগুলোর সকলেরই বিপরীত RDP সম্পর্কিত দুর্বলতা রয়েছে।
এখানে প্রযুক্তিগত বিবরণ ভয়ঙ্কর আকর্ষণীয় নয়. এটি সার্ভার থেকে দূরবর্তী ডেটা সঠিকভাবে পরীক্ষা না করার থিমের সমস্ত বৈচিত্র্য, এবং তাই হয় অতীতের অভ্যন্তরীণ বাফারগুলি পড়া বা লেখা৷ এর ফলে বিভিন্ন ধরনের তথ্য ফাঁস এবং কোড এক্সিকিউশন সমস্যা দেখা দেয়। মজার বিষয় হল অনুসন্ধানের বিভিন্ন প্রতিক্রিয়া এবং তারপরে [Eyal Itkin] এর takeaway নিরাপত্তা গবেষকদের কীভাবে দুর্বলতা প্রকাশের সাথে যোগাযোগ করা উচিত সে সম্পর্কে।
তাই প্রথমত, মাইক্রোসফ্ট একটি দুর্বলতাকে পরিষেবার অযোগ্য বলে বরখাস্ত করেছে। এবং তারপরে এটিকে অভ্যন্তরীণভাবে গবেষণা করার জন্য এগিয়ে যান, এবং আসল সন্ধানের জন্য [Eyal] যথাযথভাবে দায়ী না করে এটিকে একটি অভিনব আক্রমণ হিসাবে উপস্থাপন করেন। rdesktop-এ এই সমস্যাগুলির মধ্যে বেশ কয়েকটি রয়েছে, কিন্তু কয়েক মাসের মধ্যে সমস্যাটি সমাধান করতে সক্ষম হয়েছিল। ফ্রিআরডিপি এখনই কিছু সমস্যা সমাধান করেছে, যাকে হ্যাক-এ-মোল স্টাইল প্রক্রিয়া হিসাবে বর্ণনা করা যেতে পারে, তবে একটি প্যাচ তৈরি করা হয়েছিল যা আসলে একটি গভীর স্তরে সমস্যাটির সমাধান করবে: স্বাক্ষরবিহীন আকার_টি থেকে একটি স্বাক্ষরিত এপিআই মান পরিবর্তন করা size_t. এই পরিবর্তনটি আসলে একটি রিলিজে বিশ্বের কাছে তুলে ধরতে 2 বছর লেগেছিল৷ এত দেরি কেন?
সেই দীর্ঘ সময়ের ব্যবধানের দুটি কারণ। প্রথমত, এটি একটি কঠোর পরিবর্তন ছিল, একটি একক দুর্বলতার প্রতিক্রিয়া নয়। এটি একযোগে তাদের একটি গুচ্ছ প্রতিরোধ করবে, কিন্তু পৃথকভাবে তাদের কোনো ঠিক করার জন্য একটি প্রয়োজনীয় পরিবর্তন ছিল না. কিন্তু আরও গুরুত্বপূর্ণ, এটি একটি API পরিবর্তন ছিল। এটা জিনিস ভাঙ্গা হবে. সুতরাং, এটি প্রধান সংস্করণ শাখায় নিক্ষেপ করুন এবং অপেক্ষা করুন। এবং এখানে যেখানে একটি দ্বিধা একটি বিট আছে. একজন গবেষকের কি সমস্যাটি অনলাইনে বিস্ফোরিত করা উচিত, নাকি ধৈর্য ধরে অপেক্ষা করা উচিত? এখানে কোনো একক দৃঢ় উত্তর নেই, কারণ প্রতিটি পরিস্থিতিরই নিজস্ব জটিলতা রয়েছে, কিন্তু [Eyal] এই বিষয়টি তৈরি করে যে নিরাপত্তা গবেষকদের আরও বেশি উদ্বিগ্ন হওয়া উচিত প্রকল্পগুলিকে সংশোধন করা নিয়ে, এবং শুধুমাত্র অন্য CVE স্কোর করার বিষয়বস্তু নয়।
SSH-সাপের সাথে নেটওয়ার্ক ক্রল করুন
আমরা এই সপ্তাহে এই চতুর টুলটি আবিষ্কার করেছি: SSH-সাপ. ধারণা সহজ. স্ক্রিপ্টটি যেকোন SSH প্রাইভেট কীগুলির সন্ধান করে, তারপর পরিচিত ssh হোস্টগুলির তালিকায় সেগুলি চেষ্টা করে৷ প্রতিটি হোস্টের জন্য যা একটি কী গ্রহণ করে, স্ক্রিপ্টটি আবার চলে। এটি ফাইল সিস্টেমে কোনো ফাইল ড্রপ করে না, এবং হস্তক্ষেপ ছাড়াই স্বয়ংক্রিয়ভাবে চলে, শেষে অ্যাক্সেসযোগ্য সিস্টেমের একটি নিফটি গ্রাফ কম্পাইল করে। আপনার ডিজিটাল টুলবক্সে রাখার জন্য অবশ্যই একটি সার্থক টুল।
বিট এবং বাইট
অনলাইন খেলার একটি মজার পালা, Mandiant এই সপ্তাহে কিছু সময়ের জন্য তাদের X অ্যাকাউন্টের নিয়ন্ত্রণ হারিয়েছে. এটি একটি মজার বিড়াল-মাউস খেলা ছিল কারণ ক্রিপ্টো স্ক্যামগুলি পুশ করা পোস্টগুলি প্রদর্শিত হবে, অদৃশ্য হয়ে যাবে এবং আবার প্রদর্শিত হবে৷ পর্দার আড়ালে যে উন্মত্ত কাজ করা হয়েছে তা কেবল কল্পনা করা যায়। আশা করি আমরা কয়েক সপ্তাহের মধ্যে এই সম্পর্কে একটি ম্যান্ডিয়েন্ট ব্লগপোস্ট শেয়ার করতে পারব। এবং হ্যাঁ, এটি সম্পর্কে একটি XKCD আছে.
As you likely noticed, yesterday, Mandiant lost control of this X account which had 2FA enabled. Currently, there are no indications of malicious activity beyond the impacted X account, which is back under our control. We’ll share our investigation findings once concluded.
— Mandiant (@Mandiant) জানুয়ারী 4, 2024
আপনার যদি এখনও একটি Lastpass অ্যাকাউন্ট থাকে, আপনি এই সপ্তাহে ইমেল পেতে পারেন কাজ একটি মাস্টার পাসওয়ার্ড প্রয়োজন পরিবর্তন. TL:DR হল Lastpass এর আগে 12 অক্ষরের পাসওয়ার্ড "প্রয়োজন" ছিল। শীঘ্রই শুরু হচ্ছে, সমস্ত পাসওয়ার্ড প্রকৃতপক্ষে 12টি অক্ষরের হতে হবে, পুরানো অ্যাকাউন্টগুলি সহ আপনার যদি একটি সংক্ষিপ্ত পাসওয়ার্ড থাকে তবে যেভাবেই হোক সেই পরিবর্তনের আগে বের হয়ে যাওয়াই ভাল হবে।
এটা একটু টোন-বধির বলে মনে হচ্ছে, যে 23andMe সেখানে সাম্প্রতিক অ্যাকাউন্ট লঙ্ঘনের জন্য ক্ষতিগ্রস্তদের দায়ী করে. "ব্যবহারকারীরা 23andMe.com-এ ব্যবহৃত একই ব্যবহারকারীর নাম এবং পাসওয়ার্ডগুলি ব্যবহার করেছে যেগুলি পূর্বের নিরাপত্তা লঙ্ঘনের বিষয় ছিল এবং ব্যবহারকারীরা অবহেলার সাথে পুনর্ব্যবহার করেছেন এবং অতীতের নিরাপত্তা ঘটনাগুলির পরে তাদের পাসওয়ার্ড আপডেট করতে ব্যর্থ হয়েছেন"। ব্যতীত, এটি প্রযুক্তিগতভাবে সঠিক। ব্যবহারকারীরা সত্যিই পাসওয়ার্ড পুনরায় ব্যবহার করা হয়. এবং ব্যবহারকারীরা সত্যিই তাদের জেনেটিক মিলগুলির সাথে বিশদ ভাগ করে নেওয়ার জন্য বেছে নিয়েছেন। একমাত্র আসল ব্যর্থতা ছিল যে 23andMe-এ কেউই শংসাপত্র স্টাফিং আক্রমণটি যেমন ঘটছে তা দেখেনি, তবে এটি স্বাভাবিক ট্র্যাফিক বনাম স্বীকৃতভাবে বোঝা কঠিন। তাই সম্ভবত একটি A- প্রযুক্তিগত বিন্দু জন্য. এবং ডেলিভারির জন্য একটি ডি.
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://hackaday.com/2024/01/05/this-week-in-security-bitwarden-reverse-rdp-and-snake/
- : আছে
- : হয়
- :না
- :কোথায়
- $ ইউপি
- 1
- 10
- 12
- 2023
- 2FA
- a
- সক্ষম
- সম্পর্কে
- গ্রহণ
- প্রবেশ
- প্রবেশযোগ্য
- হিসাব
- অ্যাকাউন্টস
- কার্যকলাপ
- প্রকৃতপক্ষে
- অতিরিক্ত
- ঠিকানা
- আবার
- এগিয়ে
- সব
- এছাড়াও
- an
- এবং
- অন্য
- উত্তর
- কোন
- API
- প্রদর্শিত
- আবেদন
- ফলিত
- অভিগমন
- রয়েছি
- AS
- At
- আক্রমণ
- স্বয়ংক্রিয়ভাবে
- সহজলভ্য
- দূরে
- পিছনে
- পিঠের
- BE
- হয়েছে
- পিছনে
- দৃশ্যের অন্তরালে
- সর্বোত্তম
- তার পরেও
- বায়োমেট্রিক্স
- বিট
- BleepingComputer
- শাখা
- ভঙ্গের
- বিরতি
- গুচ্ছ
- কিন্তু
- by
- কল
- CAN
- কেস
- পরিবর্তন
- পরিবর্তন
- চরিত্র
- অক্ষর
- পরীক্ষণ
- মক্কেল
- বন্ধ
- কোড
- এর COM
- জটিলতার
- সংকটাপন্ন
- ধারণা
- উদ্বিগ্ন
- পর্যবসিত
- সংযোগ করা
- অন্তর্ভুক্ত
- বিষয়বস্তু
- নিয়ন্ত্রণ
- নিয়ামক
- সিদ্ধ
- ঠিক
- পারা
- পথ
- ক্রেডিটেনটিয়াল
- শংসাপত্রের স্টাফিং
- পরিচয়পত্র
- ক্রিপ্টো
- ক্রিপ্টো কেলেঙ্কারী
- এখন
- cve
- বিপদ
- বিপজ্জনক
- উপাত্ত
- গভীর
- ডিফল্ট
- স্পষ্টভাবে
- বিলি
- উদ্ভূত
- বর্ণিত
- ডেস্কটপ
- বিস্তারিত
- DID
- বিভিন্ন
- কঠিন
- ডিজিটাল
- অদৃশ্য
- উপলব্ধি করা
- প্রকাশ
- আবিষ্কৃত
- না
- না
- ডোমেইন
- সম্পন্ন
- Dont
- dr
- ড্রপ
- প্রতি
- পারেন
- ইমেল
- সক্ষম করা
- এনক্রিপ্ট করা
- এনক্রিপশন
- শেষ
- এমন কি
- কখনো
- প্রতি
- ছাড়া
- ব্যর্থ
- ব্যর্থতা
- কয়েক
- নথি পত্র
- পরিশেষে
- আবিষ্কার
- তথ্যও
- প্রথম
- ঠিক করা
- স্থায়ী
- সংশোধন করা হয়েছে
- অনুসরণ
- জন্য
- ফর্ম
- থেকে
- মজা
- খেলা
- উদ্ভব সম্বন্ধীয়
- পাওয়া
- পেয়ে
- ভাল
- চিত্রলেখ
- ছিল
- থাবা
- ঘটনা
- আছে
- অত: পর
- এখানে
- আশা রাখি,
- নিমন্ত্রণকর্তা
- হোস্ট
- কিভাবে
- HTTPS দ্বারা
- ধারণা
- if
- কল্পনা করা
- প্রভাব
- বাস্তবায়নের
- গুরুত্বপূর্ণভাবে
- in
- সুদ্ধ
- সূত্রানুযায়ী
- স্বতন্ত্রভাবে
- তথ্য
- ভিতরে
- মজাদার
- অভ্যন্তরীণ
- অন্ত
- Internet
- হস্তক্ষেপ
- মধ্যে
- তদন্ত
- সমস্যা
- IT
- এর
- নিজেই
- যোগদান
- JPG
- মাত্র
- রাখা
- চাবি
- কী
- পরিচিত
- গত
- LastPassiOS এর
- লিকস
- উচ্চতা
- সম্ভবত
- তালিকা
- ll
- লক
- দীর্ঘ
- অনেকক্ষণ
- সৌন্দর্য
- নষ্ট
- মেশিন
- মুখ্য
- করা
- তৈরি করে
- বিদ্বেষপরায়ণ
- Malwarebytes
- পরিচালক
- মালিক
- ম্যাচ
- মে..
- মাইক্রোসফট
- হতে পারে
- মাসের
- অধিক
- বহু
- প্রয়োজন
- নেটওয়ার্ক
- সংবাদ
- ছিমছাম
- না।
- সাধারণ
- স্বাভাবিকভাবে
- উপন্যাস
- এখন
- of
- বন্ধ
- পুরাতন
- পুরোনো
- on
- একদা
- ONE
- অনলাইন
- কেবল
- পছন্দ
- or
- মূল
- অন্যান্য
- আমাদের
- বাইরে
- শেষ
- নিজের
- বিশেষ
- পাসওয়ার্ড
- পাসওয়ার্ড
- গত
- তালি
- অকাতরে
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- খেলা
- অভিনীত
- বিন্দু
- পোস্ট
- বর্তমান
- বিরত
- পূর্বে
- পূর্বে
- ব্যক্তিগত
- ব্যক্তিগত কী
- সম্ভবত
- সমস্যা
- সমস্যা
- প্রক্রিয়া
- প্রকল্প
- সঠিকভাবে
- প্রোটোকল
- ঠেলাঠেলি
- করা
- পুরোপুরি
- পড়া
- বাস্তব
- সত্যিই
- কারণে
- সাম্প্রতিক
- পূণরাবর্তন
- মুক্তি
- মনে রাখা
- দূরবর্তী
- প্রয়োজন
- প্রয়োজনীয়
- প্রয়োজন
- প্রয়োজন
- গবেষণা
- গবেষক
- গবেষকরা
- প্রতিক্রিয়া
- প্রতিক্রিয়া
- ফলাফল
- বিপরীত
- অধিকার
- দৌড়
- রান
- একই
- সেইসব স্ক্যাম থেকে কীভাবে
- লোকচক্ষুর
- স্কোর
- লিপি
- নিরাপত্তা
- নিরাপত্তা ভঙ্গের
- সুরক্ষা গবেষকরা
- মনে
- সার্ভার
- সেবা
- সার্ভিসিং
- শেয়ার
- শেয়ারিং
- উচিত
- সাইন ইন
- সহজ
- থেকে
- একক
- অবস্থা
- সাহায্যে SMB
- So
- কঠিন
- কিছু
- শীঘ্রই
- শুরু হচ্ছে
- এখনো
- সঞ্চিত
- খবর
- ঠাসাঠাসি
- শৈলী
- বিষয়
- সিস্টেম
- লক্ষ্য
- কারিগরী
- টেকনিক্যালি
- যে
- সার্জারির
- বিশ্ব
- তাদের
- তাহাদিগকে
- বিষয়
- তারপর
- সেখানে।
- এইগুলো
- কিছু
- মনে
- এই
- এই সপ্তাহ
- সেগুলো
- দ্বারা
- সময়
- থেকে
- গ্রহণ
- টুল
- টুলবক্স
- ট্রাফিক
- সত্য
- চালু
- অধীনে
- দুর্ভাগ্যবশত
- আনলক
- আপডেট
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- মূল্য
- বৈচিত্র
- বিভিন্ন
- খিলান
- প্রতিপাদন
- সংস্করণ
- ক্ষতিগ্রস্তদের
- vs
- দুর্বলতা
- দুর্বলতা
- অপেক্ষা করুন
- ছিল
- উপায়..
- we
- ওয়েবসাইট
- সপ্তাহান্তিক কাল
- সপ্তাহ
- ছিল
- একটি আঁচিল অংশ
- কি
- যে
- যখন
- কেন
- ইচ্ছা
- জানালা
- সঙ্গে
- ছাড়া
- ওয়ার্ডপ্রেস
- হয়া যাই ?
- বিশ্ব
- উপযুক্ত
- would
- লেখা
- X
- বছর
- হাঁ
- গতকাল
- আপনি
- আপনার
- zephyrnet