ஸ்பெக்டர்ஆப்ஸ் குழு, ஸ்டீவ் போரோஷ்
ஸ்பெக்டர்ஆப்ஸ் குழு தளத்தின் சமீபத்திய வலைப்பதிவு இடுகை, பட்டாசுகள் எவ்வாறு தீங்கிழைக்கும் .ACCDE கோப்புகளை கற்பனையாக உருவாக்கலாம் மற்றும் மைக்ரோசாஃப்ட் அக்சஸ் தரவுத்தளத்தை நிறுவிய நபர்களுக்கு ஃபிஷிங் திசையனாகப் பயன்படுத்தலாம். மிக முக்கியமாக, மைக்ரோசாஃப்ட் அக்சஸ் மேக்ரோ (எம்ஏஎம்) குறுக்குவழிகளை தாக்குதல் திசையனாகவும் பயன்படுத்தலாம் என்று அது வலியுறுத்தியது.
இந்த கோப்புகள் நேரடியாக அணுகல் மேக்ரோவுடன் இணைக்கப்படுகின்றன, மேலும் அவை அலுவலகம் 97 சகாப்தத்தில் இருந்தன. இந்த குறுக்குவழிகளில் ஒன்றில் எதையும் உட்பொதிக்க முடியும் என்பதை பாதுகாப்பு நிபுணர் ஸ்டீவ் போரோஷ் நிரூபித்தார். இது JScript கோப்புகளிலிருந்து நெட் அசெம்பிளினை ஏற்றும் எளிய சுமைகளிலிருந்து எளிய மேக்ரோவிலிருந்து வரம்பை இயக்குகிறது.
மேக்ரோவுக்கு ஒரு செயல்பாட்டு அழைப்பைச் சேர்ப்பதன் மூலம், மற்றவர்கள் ஒரு சப்ரூட்டீனைச் சேர்த்திருக்கலாம், போரோஷ் தன்னிச்சையான குறியீடு செயல்பாட்டை கட்டாயப்படுத்த முடிந்தது. இயக்க ஒரு குறியீட்டைத் தேர்ந்தெடுக்க அவர் ஒரு கீழ்தோன்றும் பெட்டியைப் பயன்படுத்தி ஒரு மேக்ரோ செயல்பாட்டைத் தேர்ந்தெடுத்தார்.
ஆட்டோஎக்ஸெக் விருப்பங்கள் ஆவணம் திறந்தவுடன் மேக்ரோவை இயக்க அனுமதிக்கின்றன, எனவே பயனரிடம் அனுமதி கேட்க வேண்டிய அவசியமில்லை. தரவுத்தளத்தின் இயங்கக்கூடிய பதிப்பை உருவாக்க போரோஷ் பின்னர் அணுகலில் “ACCDE ஐ உருவாக்கு” விருப்பத்தைப் பயன்படுத்தினார், இதன் பொருள் பயனர்கள் அவர்கள் விரும்பினாலும் குறியீட்டைத் தணிக்கை செய்ய முடியாது.
இந்த வகை கோப்பை மின்னஞ்சல் இணைப்பாக அனுப்ப முடியும் என்றாலும், அதற்கு பதிலாக போரோஷ் ஒரு ஒற்றை MAM குறுக்குவழியை உருவாக்குவது மிகவும் பயனுள்ளதாக இருந்தது, இது ACCDE ஆட்டோஎக்ஸெக் தரவுத்தளத்துடன் தொலைதூரத்துடன் இணைக்கப்பட்டுள்ளது, எனவே அதை இணையத்தில் இயக்க முடியும்.
குறுக்குவழியை உருவாக்க மேக்ரோவை டெஸ்க்டாப்பிற்கு இழுத்த பிறகு, அவரிடம் ஒரு கோப்பு இருந்தது, அதில் அதிக இறைச்சி இல்லை. இருப்பினும், குறுக்குவழியில் தரவுத்தள பாதை மாறியை மாற்றுவது தொலைநிலை சேவையகத்துடன் இணைவதற்கும் ACCDE கோப்பை மீட்டெடுப்பதற்கும் அவருக்கு சுதந்திரம் அளித்தது. மீண்டும், பயனரின் அனுமதியின்றி இதைச் செய்யலாம். போர்ட் 445 திறக்கப்பட்ட கணினிகளில், இது HTTP க்கு பதிலாக SMB உடன் கூட செய்யப்படலாம்.
அவுட்லுக் முன்னிருப்பாக MAM கோப்புகளைத் தடுக்கிறது, எனவே போரோஷ் ஒரு தீங்கற்ற மின்னஞ்சலில் ஒரு ஃபிஷிங் இணைப்பை ஹோஸ்ட் செய்யலாம் மற்றும் தொலைதூரத்திலிருந்து கோப்பை மீட்டெடுக்க ஒரு பயனரைப் பெற சமூக பொறியியலைப் பயன்படுத்தலாம் என்று போரோஷ் வாதிட்டார்.
கோப்பைத் திறந்தவுடன் விண்டோஸ் பாதுகாப்பு எச்சரிக்கையுடன் அவர்களைத் தூண்டாது, இதனால் குறியீட்டை இயக்க அனுமதிக்கிறது. இது ஒரு சில பிணைய எச்சரிக்கைகள் மூலம் இருக்கலாம், ஆனால் பல பயனர்கள் இவற்றை புறக்கணிக்கக்கூடும்.
இந்த விரிசலை ஏமாற்றுவது எளிதானது என்று தோன்றினாலும், தணிப்பதும் ஏமாற்றும் எளிதானது. பின்வரும் பதிவேட்டில் விசையை அமைப்பதன் மூலம் இணையத்திலிருந்து மேக்ரோ மரணதண்டனை தடுக்க போரோஷ் முடிந்தது:
கணினி HKEY_CURRENT_USER மென்பொருள் மைக்ரோசாப்ட் அலுவலகம் 16.0 அணுகல் பாதுகாப்பு blockcontentexecutionfrominternet = 1
பல அலுவலக தயாரிப்புகளைக் கொண்ட பயனர்கள், எனினும், ஒவ்வொன்றிற்கும் தனித்தனி பதிவேட்டில் முக்கிய உள்ளீடுகளைச் சேர்க்க வேண்டும்.
குறிச்சொற்கள் விண்டோஸ் பாதுகாப்பு
