সমালোচকরা বলছেন, মাইক্রোসফ্টের বোচড এবং নীরব প্যাচ গ্রাহকদের ঝুঁকির মধ্যে ফেলেছে

একটি ভুল কাঠের দেয়ালে মাইক্রোসফ্ট লোগোর নীচে ছায়াময় চিত্রগুলি দাঁড়িয়ে আছে৷

নিরাপত্তা পেশাজীবীরা বলেছেন, তার গ্রাহকদের হুমকির দুর্বলতার প্রতিবেদনের প্রতিক্রিয়া জানাতে গিয়ে সমালোচকরা স্বচ্ছতার অভাব এবং পর্যাপ্ত গতির অভাবের জন্য মাইক্রোসফ্টকে দোষারোপ করছে।

মাইক্রোসফ্টের সর্বশেষ ব্যর্থতা মঙ্গলবার একটি পোস্টে প্রকাশিত হয়েছিল যা দেখিয়েছিল যে মাইক্রোসফ্ট Azure-এ একটি গুরুতর দুর্বলতা সফলভাবে ঠিক করার আগে পাঁচ মাস এবং তিন প্যাচ সময় নিয়েছে। Orca সিকিউরিটি প্রথম জানুয়ারী মাসের প্রথম দিকে মাইক্রোসফ্টকে এই ত্রুটি সম্পর্কে জানায়, যা ক্লাউড পরিষেবার সিনাপ্স অ্যানালিটিক্স উপাদানে থাকে এবং Azure ডেটা ফ্যাক্টরিকেও প্রভাবিত করে। এটি Azure অ্যাকাউন্টের সাথে অন্য গ্রাহকদের সংস্থান অ্যাক্সেস করার ক্ষমতা দিয়েছে।

সেখান থেকে, Orca নিরাপত্তা গবেষক Tzah Pahima বলেছেন, একজন আক্রমণকারী পারে:

  • তাদের Synapse ওয়ার্কস্পেস হিসাবে কাজ করার সময় অন্যান্য গ্রাহক অ্যাকাউন্টগুলির মধ্যে অনুমোদন লাভ করুন৷ কনফিগারেশনের উপর নির্ভর করে আমরা গ্রাহকের অ্যাকাউন্টের ভিতরে আরও বেশি সংস্থান অ্যাক্সেস করতে পারতাম।
  • লিক শংসাপত্র গ্রাহকরা তাদের Synapse ওয়ার্কস্পেসে সংরক্ষিত।
  • অন্যান্য গ্রাহকদের ইন্টিগ্রেশন রানটাইমের সাথে যোগাযোগ করুন। যেকোনো গ্রাহকের ইন্টিগ্রেশন রানটাইমে রিমোট কোড (RCE) চালানোর জন্য আমরা এটির সুবিধা নিতে পারি।
  • শেয়ার্ড ইন্টিগ্রেশন রানটাইম পরিচালনা করে Azure ব্যাচ পুলের নিয়ন্ত্রণ নিন। আমরা প্রতিটি উদাহরণে কোড চালাতে পারি।

তৃতীয়বার মুগ্ধতা

দুর্বলতার জরুরিতা সত্ত্বেও, মাইক্রোসফ্ট প্রতিক্রিয়াকারীরা এর তীব্রতা বুঝতে ধীর ছিল, পাহিমা বলেছেন। মাইক্রোসফ্ট প্রথম দুটি প্যাচ বোচ করেছে, এবং এটি মঙ্গলবার পর্যন্ত ছিল না যে মাইক্রোসফ্ট একটি আপডেট জারি করেছে যা সম্পূর্ণ ত্রুটিটি সংশোধন করেছে। পাহিমা প্রদত্ত একটি টাইমলাইন দেখায় যে প্রতিকার প্রক্রিয়ার মাধ্যমে মাইক্রোসফ্টকে পালাতে তার কোম্পানি কতটা সময় এবং কাজ করেছে।

  • জানুয়ারী 4 – Orca সিকিউরিটি রিসার্চ টিম মাইক্রোসফ্ট সিকিউরিটি রেসপন্স সেন্টার (MSRC) এর দুর্বলতা প্রকাশ করেছে, সাথে কী এবং সার্টিফিকেট আমরা বের করতে পেরেছি।
  • ফেব্রুয়ারী 19 এবং মার্চ 4 – MSRC তার তদন্তে সহায়তা করার জন্য অতিরিক্ত বিবরণের অনুরোধ করেছে। প্রতিবার আমরা পরের দিন সাড়া দিয়েছিলাম।
  • মার্চের শেষের দিকে – MSRC প্রাথমিক প্যাচ স্থাপন করেছে।
  • 30 মার্চ – ওর্কা সক্ষম হয়েছিল প্যাচ বাইপাস. Synapse অরক্ষিত.
  • মার্চ 31 – Azure আমাদের আবিষ্কারের জন্য $60,000 পুরষ্কার দেয়।
  • এপ্রিল 4 (প্রকাশের 90 দিন পরে) – Orca সিকিউরিটি মাইক্রোসফটকে জানিয়ে দেয় যে কী এবং সার্টিফিকেট এখনও বৈধ। Orca এখনও Synapse ব্যবস্থাপনা সার্ভার অ্যাক্সেস ছিল.
  • এপ্রিল 7 – অরকা MSRC এর সাথে দেখা করেছে দুর্বলতার প্রভাব এবং এটিকে সম্পূর্ণভাবে ঠিক করার প্রয়োজনীয় পদক্ষেপগুলি স্পষ্ট করতে।
  • এপ্রিল 10 – MSRC বাইপাস প্যাচ করে, এবং অবশেষে Synapse ব্যবস্থাপনা সার্ভার সার্টিফিকেট প্রত্যাহার করে। অর্কা পেরেছিল আবার প্যাচ বাইপাস. Synapse অরক্ষিত.
  • এপ্রিল 15 – MSRC 3য় প্যাচ স্থাপন করে, RCE এবং রিপোর্ট করা আক্রমণ ভেক্টর ঠিক করে।
  • মে 9 – Orca সিকিউরিটি এবং MSRC উভয়ই গ্রাহকদের জন্য দুর্বলতা, প্রশমন এবং সুপারিশের রূপরেখা দিয়ে ব্লগ প্রকাশ করে।
  • মে মাসের শেষ – মাইক্রোসফ্ট শেয়ার করা Azure ইন্টিগ্রেশন রানটাইমের জন্য ক্ষণস্থায়ী দৃষ্টান্ত এবং স্কোপড টোকেন সহ আরও ব্যাপক ভাড়াটে বিচ্ছিন্নতা স্থাপন করে।

নীরব সমাধান, কোনো বিজ্ঞপ্তি নেই

সিকিউরিটি ফার্ম টেনেবল মাইক্রোসফ্টের স্বচ্ছভাবে দুর্বলতা ঠিক করতে ব্যর্থ হওয়ার অনুরূপ কাহিনী বর্ণনা করার 24 ঘন্টা পরে অ্যাকাউন্টটি এসেছে যা Azure Synapse এর সাথে জড়িত। মাইক্রোসফ্টের দুর্বলতার অনুশীলন গ্রাহকদের ঝুঁকিতে ফেলে শিরোনামে একটি পোস্টে, টেনেবল চেয়ারম্যান এবং সিইও অমিত ইওরান “সাইবার নিরাপত্তায় স্বচ্ছতার অভাব” অভিযোগ করেছেন মাইক্রোসফ্ট তার কোম্পানি ব্যক্তিগতভাবে রিপোর্ট করা গুরুতর দুর্বলতার উপর 90 দিনের নিষেধাজ্ঞা তুলে নেওয়ার একদিন আগে দেখিয়েছিল।

হেই লিখেছেন:

এই উভয় দুর্বলতাই Azure Synapse পরিষেবা ব্যবহার করে যে কেউ শোষণ করতে পারে। পরিস্থিতি মূল্যায়ন করার পরে, মাইক্রোসফ্ট ঝুঁকি কমিয়ে, নীরবে সমস্যাগুলির একটি প্যাচ করার সিদ্ধান্ত নিয়েছে। এটা জানানোর পরেই যে আমরা জনসমক্ষে যেতে যাচ্ছি, তাদের গল্প পাল্টে গেছে… প্রাথমিক দুর্বলতা বিজ্ঞপ্তির 89 দিন পর…যখন তারা গোপনে নিরাপত্তা সমস্যার তীব্রতা স্বীকার করেছিল। আজ অবধি, Microsoft গ্রাহকদের অবহিত করা হয়নি।

Tenable এখানে প্রযুক্তিগত বিবরণ আছে.

সমালোচকরা সাত সপ্তাহেরও বেশি সময় ধরে বন্য অঞ্চলে সক্রিয়ভাবে শোষিত না হওয়া পর্যন্ত ফোলিনা নামক একটি গুরুত্বপূর্ণ উইন্ডোজ দুর্বলতার সমাধান করতে ব্যর্থ হওয়ার জন্য মাইক্রোসফ্টকে ডেকেছে। শোষণ পদ্ধতিটি প্রথম 2020 এর একাডেমিক পেপারে বর্ণনা করা হয়েছিল। তারপরে এপ্রিলে, শ্যাডো চেজার গ্রুপের গবেষকরা টুইটারে বলেছিলেন যে তারা মাইক্রোসফ্টকে রিপোর্ট করেছেন যে ফোলিনা একটি চলমান দূষিত স্প্যাম রানে শোষণ করা হচ্ছে এবং এমনকি প্রচারে ব্যবহৃত শোষণ ফাইলটিও অন্তর্ভুক্ত করেছে।

যে কারণে মাইক্রোসফ্ট এখনও ব্যাখ্যা করতে পারেনি, সংস্থাটি দুই সপ্তাহ আগে পর্যন্ত রিপোর্ট করা আচরণটিকে একটি দুর্বলতা হিসাবে ঘোষণা করেনি এবং মঙ্গলবার পর্যন্ত একটি আনুষ্ঠানিক প্যাচ প্রকাশ করেনি।

তার অংশের জন্য, মাইক্রোসফ্ট তার অনুশীলনগুলিকে রক্ষা করছে এবং Orca সিকিউরিটি দ্বারা পাওয়া Azure দুর্বলতা ঠিক করার সাথে জড়িত কাজের বিবরণ দিয়ে এই পোস্টটি সরবরাহ করেছে।

একটি বিবৃতিতে, কোম্পানির কর্মকর্তারা লিখেছেন: “আমরা আমাদের গ্রাহকদের সুরক্ষার জন্য গভীরভাবে প্রতিশ্রুতিবদ্ধ এবং আমরা বিশ্বাস করি যে নিরাপত্তা একটি দলের খেলা। আমরা নিরাপত্তা সম্প্রদায়ের সাথে আমাদের অংশীদারিত্বের প্রশংসা করি, যা গ্রাহকদের সুরক্ষার জন্য আমাদের কাজকে সক্ষম করে। একটি নিরাপত্তা আপডেটের প্রকাশ হল গুণমান এবং সময়োপযোগীতার মধ্যে ভারসাম্য, এবং আমরা সুরক্ষার উন্নতি করার সময় গ্রাহকের বিঘ্ন হ্রাস করার প্রয়োজনীয়তা বিবেচনা করি।”