গত এক দশকে বিশ্বব্যাপী ব্যবসায়িক প্রতিষ্ঠানগুলো তাদের ডিজিটাল অবকাঠামো স্ব-হোস্টেড সার্ভার থেকে ক্লাউডে (cloud) স্থানান্তর করেছে। এতে মাইক্রোসফটের মতো বড় ক্লাউড প্রদানকারীদের স্ট্যান্ডার্ড নিরাপত্তা ফিচারের সুবিধা পাওয়া গেছে। কিন্তু এই সিস্টেমের উপর এত বেশি নির্ভরতার কারণে কোনো সমস্যা হলে তা বিশাল পরিসরে বিপর্যয় ডেকে আনতে পারে। সম্প্রতি নিরাপত্তা গবেষক ডির্ক-জান মোলেমা মাইক্রোসফট অ্যাজুরের (Azure) পরিচয় ও অ্যাক্সেস ম্যানেজমেন্ট প্ল্যাটফর্ম এন্ট্রা আইডি-তে (Entra ID) এমন দুটি দুর্বলতা (vulnerabilities) আবিষ্কার করেছেন, যা কাজে লাগিয়ে বিশ্বব্যাপী সকল অ্যাজুর গ্রাহক অ্যাকাউন্টে নিয়ন্ত্রণ নেওয়া সম্ভব হতো।
এন্ট্রা আইডি হলো এমন একটি সিস্টেম, যেখানে অ্যাজুর ক্লাউড গ্রাহকদের ব্যবহারকারীর পরিচয় (user identities), সাইন-ইন অ্যাক্সেস নিয়ন্ত্রণ, অ্যাপ্লিকেশন এবং সাবস্ক্রিপশন ম্যানেজমেন্ট টুল সংরক্ষিত থাকে। মোলেমা এন্ট্রা আইডি-র নিরাপত্তা নিয়ে গভীরভাবে গবেষণা করেছেন এবং এর দুর্বলতা নিয়ে একাধিক প্রতিবেদন প্রকাশ করেছেন। তবে গত জুলাইয়ে লাস ভেগাসে ব্ল্যাক হ্যাট নিরাপত্তা সম্মেলনে (Black Hat security conference) উপস্থাপনার প্রস্তুতির সময় তিনি দুটি গুরুতর দুর্বলতা আবিষ্কার করেন। এই দুর্বলতাগুলো ব্যবহার করে গ্লোবাল অ্যাডমিনিস্ট্রেটর (global administrator) সুবিধা অর্জন করা যেত, যা মূলত “গড মোড” (god mode) নামে পরিচিত। এর ফলে প্রায় সকল এন্ট্রা আইডি টেন্যান্ট (tenant) বা গ্রাহক ডিরেক্টরি কম্প্রোমাইজ করা সম্ভব হতো।
মোলেমা বলেন, “আমি আমার স্ক্রিনের দিকে তাকিয়ে ছিলাম। ভাবছিলাম, ‘না, এটা এমন হওয়ার কথা নয়।’ এটা সত্যিই খুব খারাপ ছিল। আমার মতে, এর চেয়ে খারাপ আর কিছু হতে পারে না।” তিনি আরও বলেন, “আমার নিজের টেন্যান্ট—যেমন টেস্ট টেন্যান্ট বা ট্রায়াল টেন্যান্ট—থেকে আমি এই টোকেনগুলো রিকোয়েস্ট করতে পারতাম এবং অন্য কারো টেন্যান্টে যে কাউকে ইম্পারসোনেট (impersonate) করতে পারতাম। এর মানে, আমি অন্যের কনফিগারেশন পরিবর্তন করতে পারতাম, নতুন অ্যাডমিন ব্যবহারকারী তৈরি করতে পারতাম এবং যা ইচ্ছা তাই করতে পারতাম।”
দুর্বলতার গুরুত্ব বিবেচনা করে মোলেমা ১৪ জুলাই, যেদিন তিনি এটি আবিষ্কার করেন, সেদিনই মাইক্রোসফট সিকিউরিটি রেসপন্স সেন্টারে (Microsoft Security Response Center) বিষয়টি জানান। মাইক্রোসফট সেদিনই তদন্ত শুরু করে এবং ১৭ জুলাই বিশ্বব্যাপী সমাধান (fix) প্রয়োগ করে। ২৩ জুলাইয়ের মধ্যে সমস্যাটি সমাধান হয়েছে বলে মাইক্রোসফট মোলেমাকে নিশ্চিত করে এবং আগস্টে অতিরিক্ত নিরাপত্তা ব্যবস্থা গ্রহণ করে। ৪ সেপ্টেম্বর মাইক্রোসফট এই দুর্বলতার জন্য একটি সিভিই (CVE) জারি করে।
মাইক্রোসফটের সিকিউরিটি রেসপন্স সেন্টারের ভাইস প্রেসিডেন্ট অফ ইঞ্জিনিয়ারিং টম গ্যালাঘার বলেন, “আমরা নতুন এই সমস্যাটি দ্রুত সমাধান করেছি এবং আমাদের সিকিউর ফিউচার ইনিশিয়েটিভের (Secure Future Initiative) অংশ হিসেবে এই পুরনো প্রোটোকলের ব্যবহার বন্ধ করার কাজ ত্বরান্বিত করেছি। আমরা দুর্বল যাচাই লজিকে (validation logic) কোড পরিবর্তন করেছি, এটি পরীক্ষা করেছি এবং আমাদের ক্লাউড ইকোসিস্টেমে প্রয়োগ করেছি।” তিনি আরও জানান, তদন্তে এই দুর্বলতার কোনো অপব্যবহারের প্রমাণ পাওয়া যায়নি।
দুটি দুর্বলতাই এন্ট্রা আইডি-র পুরনো সিস্টেমের সঙ্গে সম্পর্কিত। প্রথমটি হলো অ্যাক্টর টোকেন (Actor Tokens) নামে একটি অ্যাজুর অথেনটিকেশন টোকেন, যা অ্যাজুরের একটি অখ্যাত মেকানিজম “অ্যাক্সেস কন্ট্রোল সার্ভিস” (Access Control Service) থেকে ইস্যু করা হয়। মোলেমা আবিষ্কার করেন, এই টোকেনগুলোর বিশেষ বৈশিষ্ট্য রয়েছে, যা অন্য একটি দুর্বলতার সঙ্গে মিলিত হলে আক্রমণকারীর জন্য কার্যকর হতে পারে। দ্বিতীয় দুর্বলতাটি ছিল অ্যাজুর অ্যাকটিভ ডিরেক্টরি গ্রাফ (Azure Active Directory Graph) নামে একটি পুরনো অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেসে (API), যা মাইক্রোসফট ৩৬৫-এর ডেটা অ্যাক্সেসের জন্য ব্যবহৃত হতো। মাইক্রোসফট বর্তমানে এই গ্রাফ বন্ধ করে এন্ট্রা আইডি-র জন্য মাইক্রোসফট গ্রাফে (Microsoft Graph) স্থানান্তর করছে। দুর্বলতাটি ছিল অ্যাজুর এডি গ্রাফের ব্যর্থতা, যেখানে এটি কোন টেন্যান্ট থেকে অ্যাক্সেস রিকোয়েস্ট এসেছে তা যাচাই করতে ব্যর্থ হয়। ফলে ভিন্ন টেন্যান্টের অ্যাক্টর টোকেন গ্রহণ করা হতো, যা প্রত্যাখ্যান করা উচিত ছিল।
জেনিটি (Zenity) নিরাপত্তা ফার্মের সিটিও মাইকেল বার্গুরি বলেন, “মাইক্রোসফট পরিচয় নিয়ন্ত্রণের জন্য শর্তাধীন অ্যাক্সেস (conditional access) এবং লগের মতো নিরাপত্তা ব্যবস্থা তৈরি করেছে, কিন্তু এই ইম্প্রেশন টোকেন মেকানিজম সবকিছু বাইপাস করে। এটি একটি পরিচয় প্রদানকারীর (identity provider) ক্ষেত্রে সবচেয়ে প্রভাবশালী দুর্বলতা, যা যেকোনো গ্রাহকের যেকোনো টেন্যান্টের পূর্ণ নিয়ন্ত্রণ নিতে পারে।”
যদি এই দুর্বলতা কোনো দূষ্ট হ্যাকারের হাতে পড়তো, তাহলে এর পরিণতি বিধ্বংসী হতো। বার্গুরি বলেন, “আমাদের অনুমান করার দরকার নেই এর প্রভাব কী হতো। দুই বছর আগে আমরা দেখেছি, স্টর্ম-০৫৫৮ (Storm-0558) নামে একটি চীনা সাইবার গুপ্তচর দল কীভাবে একটি সাইনিং কী (signing key) চুরি করে যেকোনো টেন্যান্টে যেকোনো ব্যবহারকারী হিসেবে লগইন করেছিল।”
২০২৩ সালের জুলাইয়ে মাইক্রোসফট প্রকাশ করে যে স্টর্ম-০৫৫৮ একটি ক্রিপ্টোগ্রাফিক কী চুরি করে অথেনটিকেশন টোকেন তৈরি করেছিল এবং ক্লাউড-ভিত্তিক আউটলুক ইমেইল সিস্টেমে, এমনকি মার্কিন সরকারি বিভাগের ইমেইলেও অ্যাক্সেস করেছিল। এই ঘটনার পর মাইক্রোসফটের তদন্তে বেশ কিছু ত্রুটি প্রকাশ পায়, যা স্টর্ম-০৫৫৮-কে ক্লাউড নিরাপত্তা ব্যবস্থা অতিক্রম করতে সাহায্য করেছিল। এই ঘটনা এবং একই সময়ে মাইক্রোসফটের অন্যান্য সমস্যা তাদের “সিকিউর ফিউচার ইনিশিয়েটিভ” চালু করতে প্ররোচিত করে, যা ক্লাউড নিরাপত্তা ব্যবস্থার সুরক্ষা বাড়ায় এবং দুর্বলতার প্রকাশ ও প্যাচ ইস্যুতে আরও আক্রমণাত্মক লক্ষ্য নির্ধারণ করে।
মোলেমা বলেন, মাইক্রোসফট তার আবিষ্কারের বিষয়ে অত্যন্ত দ্রুত সাড়া দিয়েছে এবং এর গুরুত্ব বুঝতে পেরেছে। তবে তিনি জোর দিয়ে বলেন, তার আবিষ্কৃত দুর্বলতা ২০২৩ সালের ঘটনার চেয়েও বেশি ক্ষতি করতে পারতো। “এই দুর্বলতার মাধ্যমে আপনি নিজেকে টেন্যান্টের সর্বোচ্চ সুবিধাযুক্ত অ্যাডমিন হিসেবে যুক্ত করতে পারতেন, ফলে পূর্ণ অ্যাক্সেস পেতেন। এন্ট্রা আইডি ব্যবহার করে সাইন-ইন করা যেকোনো মাইক্রোসফট সেবা—যেমন অ্যাজুর, শেয়ারপয়েন্ট (SharePoint), বা এক্সচেঞ্জ (Exchange)—এই দুর্বলতার মাধ্যমে কম্প্রোমাইজ হতে পারতো,” বলেন মোলেমা।
এই ঘটনা আমাদের মনে করিয়ে দেয় যে ক্লাউড-ভিত্তিক সিস্টেমের উপর ক্রমবর্ধমান নির্ভরতা আমাদের জন্য সুবিধা এনে দিলেও, নিরাপত্তার ক্ষেত্রে কোনো ত্রুটি বিশাল ক্ষতির কারণ হতে পারে। মাইক্রোসফটের দ্রুত প্রতিক্রিয়া এবং সমাধান এই ক্ষেত্রে স্বস্তির বিষয়, তবে এটি সাইবার নিরাপত্তার গুরুত্ব এবং ক্রমাগত সতর্কতার প্রয়োজনীয়তার একটি গুরুত্বপূর্ণ অনুস্মারক।
