সাইবার আক্রমণের শঙ্কায় জরুরি আপডেট মাইক্রোসফটের

ওয়েব অ্যাপ্লিকেশন নিরাপত্তায় বড় ধরনের ঝুঁকি তৈরি করা এক ত্রুটি শনাক্তের পর দ্রুত পদক্ষেপ নিয়েছে মাইক্রোসফট। ব্যবহারকারীর অজান্তেই সিস্টেম নিয়ন্ত্রণ নেওয়ার সুযোগ তৈরি হচ্ছিল এই দুর্বলতায়। বিষয়টি সামনে আসতেই জরুরি আপডেট প্রকাশ করে প্রতিষ্ঠানটি। প্রযুক্তি সংশ্লিষ্টদের মতে, সময়মতো আপডেট না করলে বড় ক্ষতির আশঙ্কা ছিল।

এই ত্রুটির সুযোগ নিয়ে কোনো প্রমাণীকরণ ছাড়াই আক্রমণকারীরা ভুয়া অথেনটিকেশন কুকি তৈরি করতে পারত। এর মাধ্যমে আক্রান্ত ডিভাইসে সিস্টেম পর্যায়ের নিয়ন্ত্রণ নেওয়া সম্ভব ছিল, যা অত্যন্ত ঝুঁকিপূর্ণ।

চলতি মাসের প্যাচ টিউসডে আপডেটের অংশ হিসেবে ডটনেট ১০.০.৬ সংস্করণ ইনস্টলের পর ব্যবহারকারীরা অ্যাপ্লিকেশনে ডিক্রিপশন ব্যর্থ হওয়ার সমস্যা জানান। এই অভিযোগের ভিত্তিতেই ত্রুটিটি শনাক্ত করে মাইক্রোসফট।

এর ফলে আক্রমণকারীরা ভুয়া পেলোড তৈরি করতে পারত, যা সিস্টেমের যাচাই পাস করত। এমনকি আগে সুরক্ষিত রাখা ডেটাও ডিক্রিপ্ট করা সম্ভব ছিল। এর মধ্যে ছিল অথেনটিকেশন কুকি, অ্যান্টিফরজারি টোকেন, টেম্পডেটা এবং ওআইডিসি স্টেটের মতো গুরুত্বপূর্ণ উপাদান।

আরও উদ্বেগের বিষয় হলো, এই দুর্বলতার সুযোগে আক্রমণকারীরা উচ্চাধিকারসম্পন্ন ব্যবহারকারী হিসেবে লগ-ইন করে বৈধ টোকেন নিজেদের জন্য তৈরি করাতে পারত। যেমন সেশন রিফ্রেশ টোকেন, এপিআই কী বা পাসওয়ার্ড রিসেট লিংক। এই টোকেনগুলো পরবর্তীতে আপডেট করলেও কার্যকর থাকতে পারে, যদি ডেটা প্রোটেকশন কী পরিবর্তন না করা হয়।

মাইক্রোসফট আরও জানিয়েছে, এই ত্রুটির মাধ্যমে আক্রমণকারীরা ফাইলের তথ্য দেখতে বা ডেটা পরিবর্তন করতে পারলেও সিস্টেম পুরোপুরি অচল করতে পারত না।

এর আগে গত অক্টোবরে কেস্ট্রেল ওয়েব সার্ভারে একটি এইচটিটিপি রিকোয়েস্ট স্মাগলিং ত্রুটি শনাক্ত হয়েছিল, যা এএসপি ডটনেট কোরের ইতিহাসে সবচেয়ে উচ্চ ঝুঁকিপূর্ণ হিসেবে বিবেচিত হয়। ওই ত্রুটির মাধ্যমে আক্রমণকারীরা অন্য ব্যবহারকারীর তথ্য দখল, নিরাপত্তা ব্যবস্থা এড়িয়ে যাওয়া বা সার্ভার অচল করার সুযোগ পেত।

নতুন এই ত্রুটি দ্রুত সমাধান করায় বড় ধরনের সাইবার ঝুঁকি এড়ানো সম্ভব হয়েছে বলে মনে করছেন সংশ্লিষ্টরা।

টেকওয়ার্ল্ডের আপডেটেড খবর পেতে WhatsApp চ্যানেল ফলো করুন