মাইক্রোসফটের Remote Registry ক্লায়েন্টে একটি দুর্বলতার জন্য Proof-of-concept এক্সপ্লয়েট কোড এখন জনসাধারণের কাছে উন্মুক্ত হয়েছে, যা ব্যবহার করে উইন্ডোজ ডোমেইন নিয়ন্ত্রণ করা সম্ভব হতে পারে। এই দুর্বলতার মাধ্যমে প্রমাণীকরণ প্রক্রিয়ার সুরক্ষা কমিয়ে ডোমেইন হাইজ্যাক করা যেতে পারে।
এই দুর্বলতাটি CVE-2024-43532 নামে চিহ্নিত এবং এটি উইন্ডোজ রেজিস্ট্রি (WinReg) ক্লায়েন্ট ইমপ্লিমেন্টেশনের একটি ফলব্যাক মেকানিজমের সুবিধা নেয়, যেখানে Server Message Block (SMB) ট্রান্সপোর্ট না থাকলে পুরানো ট্রান্সপোর্ট প্রোটোকলগুলির উপর নির্ভর করে।
এই সিকিউরিটি ইস্যুটি কাজে লাগিয়ে একজন আক্রমণকারী NTLM প্রমাণীকরণকে Active Directory Certificate Services (ADCS)-এ রিলে করে একটি ইউজার সার্টিফিকেট পেতে পারে, যা পরে ডোমেইন প্রমাণীকরণের জন্য ব্যবহার করা যেতে পারে।
বিস্তারিত
CVE-2024-43532 মাইক্রোসফটের Remote Registry ক্লায়েন্টের Remote Procedure Call (RPC) প্রমাণীকরণ প্রক্রিয়ার কারণে তৈরি হয়েছে। বিশেষত, SMB ট্রান্সপোর্ট অনুপস্থিত হলে ক্লায়েন্ট পুরোনো প্রোটোকলের উপর ফিরে যায় এবং দুর্বল প্রমাণীকরণ স্তর (RPC_C_AUTHN_LEVEL_CONNECT) ব্যবহার করে, যা সংযোগের স্বচ্ছতা বা অখণ্ডতা যাচাই করে না।
এই পরিস্থিতিতে আক্রমণকারী NTLM প্রমাণীকরণ হ্যান্ডশেক ইন্টারসেপ্ট করে সেটি অন্য কোনো সার্ভিস, যেমন ADCS-এর কাছে ফরোয়ার্ড করতে পারে। এর ফলে নতুন ডোমেইন অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট তৈরি করা সম্ভব। সফলভাবে CVE-2024-43532 কাজে লাগিয়ে NTLM Relay আক্রমণের নতুন একটি পদ্ধতি আবিষ্কার হয়েছে, যেখানে WinReg উপাদান ব্যবহার করে প্রমাণীকরণের তথ্য রিলে করে ডোমেইন অধিকার করা যায়।
এর আগে বিভিন্ন থ্রেট অ্যাক্টর NTLM Relay আক্রমণের মাধ্যমে উইন্ডোজ ডোমেইন দখল করেছে। উদাহরণ হিসেবে, LockFile ransomware gang, PetitPotam ব্যবহার করে মার্কিন যুক্তরাষ্ট্র এবং এশিয়ার বিভিন্ন সংস্থাকে লক্ষ্যবস্তু করেছে।
এই দুর্বলতা আবিষ্কার করেছেন Akamai গবেষক Stiv Kupchik, যিনি ১ ফেব্রুয়ারি এটি মাইক্রোসফটকে জানান। তবে, ২৫ এপ্রিল মাইক্রোসফট এটি “ডকুমেন্টেশন ইস্যু” হিসেবে বাতিল করে। এরপর জুনের মাঝামাঝি, Kupchik আরও ভালো Proof-of-concept (PoC) এবং ব্যাখ্যা দিয়ে আবার রিপোর্ট জমা দেন, যা মাইক্রোসফট ৮ জুলাই নিশ্চিত করে। তিন মাস পর, মাইক্রোসফট একটি ফিক্স প্রকাশ করে।
গবেষক এখন CVE-2024-43532-এর একটি কার্যকরী PoC প্রকাশ করেছেন এবং এক্সপ্লয়েটেশন প্রক্রিয়ার বিবরণ দিয়েছেন, যেখানে Relay সার্ভার তৈরি থেকে শুরু করে লক্ষ্যবস্তু ইউজার সার্টিফিকেট পাওয়া পর্যন্ত প্রতিটি ধাপ দেখানো হয়েছে। এই প্রক্রিয়া নিয়ে তিনি ইতালির বার্গামোতে অনুষ্ঠিত ‘No Hat‘ সিকিউরিটি কনফারেন্সে আলোচনা করেছেন।
Akamai এর রিপোর্টে একটি পদ্ধতিও দেওয়া হয়েছে, যা ব্যবহার করে নির্ধারণ করা যাবে কোনো মেশিনে রিমোট রেজিস্ট্রি সার্ভিস সক্রিয় আছে কিনা, এবং এমন ক্লায়েন্ট শনাক্ত করতে একটি YARA নিয়ম উল্লেখ করা হয়েছে যা দুর্বল WinAPI ব্যবহার করে।
গবেষকরা আরও পরামর্শ দিয়েছেন যে, Event Tracing for Windows (ETW) ব্যবহার করে নির্দিষ্ট RPC কল, বিশেষ করে WinReg RPC ইন্টারফেসের সঙ্গে সম্পর্কিত কলগুলি মনিটর করা উচিত।
তথ্যসূত্র: Bleeping Computer
