माइक्रोसॉफ्ट ऑफिस: शोधकर्ताओं ने भेद्यता की खोज की

महत्वपूर्ण Word दस्तावेज़ जो हस्ताक्षर द्वारा सुरक्षित हैं, उन्हें अभी भी भेद्यता के कारण संशोधित किया जा सकता है। Microsoft ने केवल 5 में से 4 कमजोरियों को ठीक किया है जो संशोधन की अनुमति देती हैं। बोचुम में रूहर यूनिवर्सिटी और मेन्ज़ यूनिवर्सिटी ऑफ एप्लाइड साइंसेज के शोधकर्ताओं के अनुसार, समस्या अभी भी मौजूद है।

यदि आप किसी महत्वपूर्ण वर्ड दस्तावेज़ को डिजिटल रूप से सुरक्षित रूप से भेजना चाहते हैं, तो आप इसे हस्ताक्षर के साथ सुरक्षित कर सकते हैं - वास्तव में। क्योंकि, जैसा कि रूहर यूनिवर्सिटी बोचुम और मेनज़ विश्वविद्यालय में आईटी सुरक्षा के लिए होर्स्ट गोर्त्ज़ इंस्टीट्यूट में नेटवर्क और डेटा सुरक्षा के अध्यक्ष के शोधकर्ताओं ने पाया है, दस्तावेज़ में किसी का ध्यान न जाना हमलावरों के लिए बच्चों का खेल है। साइमन रोहलमैन, व्लादिस्लाव म्लाडेनोव, क्रिश्चियन मेनका, डैनियल हिर्शबर्गर और जोर्ग श्वेंक अपने शोध कार्य "एवरी सिग्नेचर इज ब्रोकन: ऑन द इनसिक्योरिटी ऑफ माइक्रोसॉफ्ट ऑफिस के ओओएक्सएमएल सिग्नेचर्स" पर प्रसिद्ध आईटी सुरक्षा सम्मेलन "यूसेनिक्स सिक्योरिटी सिम्पोजियम" में पेपर प्रस्तुत करेंगे। 9 से 11 अगस्त, 2023 तक कैलिफ़ोर्निया, संयुक्त राज्य अमेरिका में स्थान।

कोई विश्वसनीय दस्तावेज़ अखंडता नहीं

"डिजिटल हस्ताक्षर का लक्ष्य किसी दस्तावेज़ की अखंडता की पुष्टि करना है," साइमन रोहलमैन बताते हैं, जो अब मेनज़ यूनिवर्सिटी ऑफ एप्लाइड साइंसेज में काम करते हैं। इस प्रयोजन के लिए, एक ओर, एक निजी कुंजी के साथ सार्वजनिक-कुंजी एल्गोरिदम के आधार पर एक हस्ताक्षर तैयार किया जाता है, जिसे दूसरी ओर सार्वजनिक कुंजी का उपयोग करके जांचा जा सकता है। जो व्यक्ति दस्तावेज़ भेजना चाहता है वह इसे बाद के बाहरी प्रभावों से बचा सकता है और फिर भी इसे दूसरों के लिए सुलभ बना सकता है। सुरक्षित क्रिप्टोग्राफ़िक प्रक्रिया के लिए धन्यवाद, इसे प्राप्त करने वाला व्यक्ति यह भी सुनिश्चित कर सकता है कि दस्तावेज़ की सामग्री वैध है।

हालाँकि, वैज्ञानिकों ने एक भेद्यता की खोज की है जो माइक्रोसॉफ्ट के ऑफिस ओपन एक्सएमएल (ओओएक्सएमएल) में दस्तावेज़ों को आसानी से हेरफेर करने की अनुमति देती है: "हमने माना है कि दस्तावेज़ केवल आंशिक रूप से हस्ताक्षरित हैं। उदाहरण के लिए, आप नई सामग्री जोड़ सकते हैं या किसी के ध्यान में आए बिना हस्ताक्षरित सामग्री छिपा सकते हैं,'' साइमन रोहलमैन बताते हैं।

पाँच हमले की संभावनाएँ - माइक्रोसॉफ्ट ने सूचित किया

वैज्ञानिकों ने कुल पांच हमले के विकल्प ढूंढे हैं जो कार्यालय प्रणाली में संरचनात्मक विसंगतियों के कारण संभव हैं: वैज्ञानिक के अनुसार, OOXML मानक के डेवलपर्स ने स्पष्ट रूप से केवल दस्तावेज़ पैकेज के कुछ हिस्सों पर हस्ताक्षर करने का निर्णय लिया है। “यह इन दस्तावेज़ों पर डिजिटल हस्ताक्षर को लगभग बेकार बना देता है। उदाहरण के लिए, एक हमलावर सोशल इंजीनियरिंग पर आधारित हमलों को विशेष रूप से भरोसेमंद दिखाने के लिए हस्ताक्षरित दस्तावेज़ों का उपयोग कर सकता है क्योंकि दस्तावेज़ में एक प्रबंधक के वैध हस्ताक्षर होते हैं,'' साइमन रोहलमैन ने कहा।

इससे प्रभावित XML-आधारित फ़ाइल स्वरूपों का उपयोग Microsoft द्वारा 2007 से किया जा रहा है। उपयोगकर्ता आमतौर पर उन्हें फ़ाइल नाम में प्रत्यय -X द्वारा पहचानते हैं; फ़ाइल.docx या फ़ाइल.xlsx. उनका मुख्य लाभ यह है कि संपीड़न तकनीक के कारण उन्हें कम भंडारण स्थान की आवश्यकता होती है और, अपने पूर्ववर्तियों के विपरीत, उन्हें वास्तव में अधिक सुरक्षा प्रदान करनी चाहिए।

केवल चार कमजोरियाँ ठीक की गई हैं

जब वैज्ञानिकों ने पहली बार 2022 में सुरक्षा खामियों का पता लगाया, तो उन्होंने तुरंत माइक्रोसॉफ्ट और जिम्मेदार मानकीकरण प्राधिकरण को सूचित किया। हालाँकि, शोधकर्ताओं के बार-बार संपर्क करने के बावजूद, कंपनी ने समस्या को तुरंत खत्म नहीं किया।

पिछले महीने से, पांच हमले विकल्पों में से केवल एक, यूनिवर्सल सिग्नेचर फोर्जरी (यूएसएफ) हमला, माइक्रोसॉफ्ट ऑफिस 2021 (संस्करण 2305 (बिल्ड 16501.20210)) के खुदरा संस्करण में संभव हो गया है; अन्य सभी को ठीक कर दिया गया है। रोहलमैन (शुक्रवार, 2021 जून, 2108 तक) कहते हैं, "माइक्रोसॉफ्ट ऑफिस 14332.20517 (संस्करण 16.6.2023 (बिल्ड XNUMX)) के नवीनतम एलटीएससी संस्करण में हमलों को अभी तक ठीक नहीं किया गया है।"

इस भेद्यता पर शोध करने का विचार एक अन्य वैज्ञानिक कार्य की सफलता पर आधारित है जिसे नेटवर्क और डेटा सिक्योरिटी के अध्यक्ष की टीम ने 2019 में प्रकाशित किया था: यहां, बोचम वैज्ञानिक पहली बार यह साबित करने में सक्षम थे कि पीडीएफ दस्तावेजों में डिजिटल हस्ताक्षरों को दरकिनार किया जा सकता है। कई अनुप्रयोगों के लिए यह संभव नहीं है, यह देखा गया। तब से, शोधकर्ताओं ने नियमित रूप से हस्ताक्षरों की जांच करने के लिए खुद को समर्पित कर दिया है, जो पेशेवर जीवन में या आधिकारिक संदर्भ में अधिक से अधिक व्यापक होते जा रहे हैं। हालाँकि, साइमन रोहलमैन यह अनुमान नहीं लगा सकते हैं कि इस क्षेत्र में Microsoft Office हस्ताक्षरों की श्रृंखला का उपयोग कितने व्यापक रूप से किया जाता है।

शोधकर्ताओं ने भेद्यता पर एक संबंधित श्वेत पत्र भी प्रकाशित किया है।

सीधे Usenix.org पर श्वेत पत्र पर

 

विषय से संबंधित लेख