పిబి టెక్
మాల్వేర్బైట్లతో కలిసి పనిచేసే అగ్ర భద్రతా పరిశోధకుడు జెరోమ్ సెగురా, మాక్రోలు అవసరం లేని దాడి వెక్టర్ను ఉపయోగించడం ద్వారా మైక్రోసాఫ్ట్ ఆఫీస్లో భద్రతా రక్షణలను పొందే మార్గాన్ని కనుగొన్నారు. యాక్సెస్ డేటాబేస్లను దుర్వినియోగం చేయడానికి స్థూల సత్వరమార్గాలను ఉపయోగించే పద్ధతులను ఇటీవల కనుగొన్న ఇతర పరిశోధకుల దృష్టికి ఇది వస్తుంది.
సెట్టింగుల ఫైల్ను ఆఫీస్ డాక్యుమెంట్లో పొందుపరచడం ద్వారా, దాడి చేసేవారు సోషల్ ఇంజనీరింగ్ను ఉపయోగించి తదుపరి నోటిఫికేషన్లు లేకుండా ప్రమాదకరమైన కోడ్ను అమలు చేయడానికి వినియోగదారులను పొందవచ్చు. సాంకేతికత పనిచేసేటప్పుడు, విండోస్ ఎటువంటి దోష సందేశాలను విసిరివేయదు. నిగూ ones మైన వాటిని కూడా దాటవేయవచ్చు, ఇది ఏదైనా జరుగుతుందనే వాస్తవాన్ని దాచడానికి సహాయపడుతుంది.
విండోస్ 10 కి ప్రత్యేకమైన ఫైల్ ఫార్మాట్ కంట్రోల్ పానెల్లోని ఆప్లెట్లకు సత్వరమార్గాలను సృష్టించగల XML కోడ్ను కలిగి ఉంది. ఈ ఫార్మాట్, .SettingContent.ms, విండోస్ యొక్క మునుపటి సంస్కరణల్లో లేదు. ఫలితంగా, పరిశోధకులకు తెలిసినంతవరకు వారు ఈ దోపిడీకి గురికాకూడదు.
వైన్ అప్లికేషన్ అనుకూలత పొరను ఉపయోగించి ఆఫీసును మోహరించిన వారు GNU / Linux లేదా macOS ను ఉపయోగిస్తున్నారా అనే దానితో సంబంధం లేకుండా సమస్యలను అనుభవించకూడదు. ఈ ఫైల్ కలిగి ఉన్న XML ఎలిమెంట్లలో ఒకటి, అయితే, బేర్ మెటల్పై నడుస్తున్న విండోస్ 10 మెషీన్లతో నాశనమవుతుంది.
డీప్లింక్, మూలకం తెలిసినట్లుగా, బైనరీ ఎక్జిక్యూటబుల్ కట్టలు వాటి తరువాత స్విచ్లు మరియు పారామితులను కలిగి ఉన్నప్పటికీ వాటిని అమలు చేయడానికి అనుమతిస్తాయి. దాడి చేసేవారు పవర్షెల్ కోసం కాల్ చేసి, ఆ తర్వాత ఏదో ఒకదానిని జోడించవచ్చు, తద్వారా వారు ఏకపక్ష కోడ్ను అమలు చేయడం ప్రారంభిస్తారు. వారు కావాలనుకుంటే, వారు అసలు లెగసీ కమాండ్ ఇంటర్ప్రెటర్ను కూడా పిలుస్తారు మరియు NT కెర్నల్ యొక్క ప్రారంభ సంస్కరణల నుండి విండోస్ కమాండ్ లైన్ కోడర్లను అందించిన అదే వాతావరణాన్ని ఉపయోగించవచ్చు.
పర్యవసానంగా, సృజనాత్మక దాడి చేసేవారు చట్టబద్ధంగా కనిపించే పత్రాన్ని రూపొందించవచ్చు మరియు దానిపై లింక్ను క్లిక్ చేయడానికి ప్రజలను పొందేలా మరొకరిలా నటిస్తారు. ఉదాహరణకు, క్రిప్టోమైనింగ్ అనువర్తనాలను బాధితుడి యంత్రంలోకి డౌన్లోడ్ చేయడానికి ఇది ఉపయోగపడుతుంది.
వారు పెద్ద స్పామ్ ప్రచారం ద్వారా ఫైల్ను పంపించాలనుకోవచ్చు. క్లాసిక్ సోషల్ ఇంజనీరింగ్ దాడులు త్వరలో శైలి నుండి బయటపడకుండా చూసుకోవాలని సెగురా సూచించారు. కోడ్ అమలు జరగడానికి కొంతమంది అనుమతిస్తారని నిర్ధారించడానికి అటువంటి ఫైల్ లెక్కలేనన్ని వినియోగదారులకు పంపిణీ చేయవలసి ఉండగా, ఇది వేరొకటి మారువేషంలో ఉంచడం ద్వారా సాధ్యమవుతుంది.