CVE-2025-53770 জিরো-ডে দুর্বলতা
মাইক্রোসফট শেয়ারপয়েন্ট সার্ভারে একটি গুরুতর নিরাপত্তা ত্রুটি চলমান, বৃহৎ আকারের সাইবার আক্রমণ প্রচারণার কেন্দ্রবিন্দুতে পরিণত হয়েছে। CVE-2025-53770 হিসাবে ট্র্যাক করা হয়েছে এবং CVSS স্কোর 9.8, এই দুর্বলতাটিকে শূন্য-দিন হিসাবে শ্রেণীবদ্ধ করা হয়েছে এবং এটি CVE-2025-49704 (CVSS 8.8) এর সাথে ঘনিষ্ঠভাবে সম্পর্কিত, এটি একটি কোড ইনজেকশন এবং রিমোট কোড এক্সিকিউশন বাগ যা মাইক্রোসফটের জুলাই 2025 প্যাচ মঙ্গলবার আপডেটের সময় সমাধান করা হয়েছিল। এই ত্রুটিটি অবিশ্বস্ত ডেটার ডিসিরিয়ালাইজেশন থেকে উদ্ভূত, যা আক্রমণকারীদের দূরবর্তীভাবে এবং যথাযথ অনুমোদন ছাড়াই ক্ষতিকারক কোড এক্সিকিউট করতে দেয়।
সুচিপত্র
সক্রিয় আক্রমণ এবং প্রভাবিত সিস্টেম
গবেষকরা নিশ্চিত করেছেন যে সাইবার অপরাধীরা প্রাঙ্গনে থাকা SharePoint সার্ভারের ক্ষেত্রে এই দুর্বলতাকে সক্রিয়ভাবে কাজে লাগাচ্ছে। গুরুত্বপূর্ণ বিষয় হল, Microsoft 365-এ SharePoint Online এখনও অক্ষত রয়েছে। আক্রমণকারীরা Deserialization-এর সময় SharePoint কীভাবে অবিশ্বস্ত বস্তু পরিচালনা করে তা কাজে লাগাচ্ছে, ব্যবহারকারীর প্রমাণীকরণের আগে তাদের কমান্ড কার্যকর করার ক্ষমতা প্রদান করছে। সিস্টেমের ভিতরে প্রবেশ করার পর, আক্রমণকারীরা চুরি করা মেশিন কী ব্যবহার করে জাল পেলোড তৈরি করতে পারে, যার ফলে পার্শ্বীয় চলাচল এবং স্থায়ী অ্যাক্সেস সম্ভব হয়। এটি সনাক্তকরণ এবং প্রশমনকে চ্যালেঞ্জিং করে তোলে, কারণ তাদের কার্যকলাপ বৈধ SharePoint ট্র্যাফিকের অনুকরণ করতে পারে।
জটিল শোষণ শৃঙ্খল
প্রমাণ থেকে জানা যায় যে CVE-2025-53770 অন্যান্য ত্রুটির সাথে ব্যবহার করা হচ্ছে, যার মধ্যে CVE-2025-49706 (CVSS স্কোর 6.3 সহ একটি স্পুফিং বাগ) এবং CVE-2025-49704 অন্তর্ভুক্ত রয়েছে, যা ToolShell নামে পরিচিত একটি উন্নত এক্সপ্লয়েট চেইন তৈরি করে। আক্রমণকারীরা CVE-2025-49706 ব্যবহার করে রিমোট কোড এক্সিকিউশন পেলোড সরবরাহ করে যা CVE-2025-49704 ব্যবহার করে। HTTP রেফারার হিসাবে '_layouts/SignOut.aspx' যোগ করলে CVE-2025-49706 CVE-2025-53770 তে রূপান্তরিত হয়, যা আরও সুগঠিত শোষণ প্রক্রিয়া সক্ষম করে।
আক্রমণগুলিতে সাধারণত PowerShell এর মাধ্যমে সরবরাহ করা ASPX পেলোডগুলি জড়িত থাকে, যার লক্ষ্য সার্ভারের MachineKey কনফিগারেশন (ValidationKey এবং DecryptionKey) চুরি করা। এই কীগুলি অত্যন্ত গুরুত্বপূর্ণ কারণ এগুলি আক্রমণকারীদের ক্ষতিকারক __VIEWSTATE পেলোড তৈরি করতে দেয় যা SharePoint বৈধ হিসাবে গ্রহণ করবে, কার্যকরভাবে যেকোনো প্রমাণিত অনুরোধকে দূরবর্তী কোড কার্যকর করার সুযোগে পরিণত করে।
আপসের মাত্রা
এখন পর্যন্ত, বিশ্বব্যাপী ৮৫টিরও বেশি SharePoint সার্ভার ক্ষতিগ্রস্ত হয়েছে, যার ফলে বহুজাতিক কর্পোরেশন এবং সরকারি সংস্থা সহ কমপক্ষে ২৯টি প্রতিষ্ঠান ক্ষতিগ্রস্ত হয়েছে। আক্রমণকারীদের ক্রিপ্টোগ্রাফিক কী একবার পেয়ে গেলে, প্রতিকার অনেক জটিল হয়ে যায়। এমনকি একটি নিরাপত্তা প্যাচ প্রয়োগ করার পরেও, চুরি হওয়া কীগুলি আক্রমণকারীদের অ্যাক্সেস বজায় রাখার সুযোগ করে দিতে পারে যদি না সেই কীগুলি ম্যানুয়ালি ঘোরানো হয় বা পুনরায় কনফিগার করা হয়।
প্রশমন ব্যবস্থা
একটি অফিসিয়াল প্যাচ উপলব্ধ না হওয়া পর্যন্ত, মাইক্রোসফট প্রতিষ্ঠানগুলিকে SharePoint-এ অ্যান্টিম্যালওয়্যার স্ক্যান ইন্টারফেস (AMSI) ইন্টিগ্রেশন সক্ষম করার পরামর্শ দিয়েছে। AMSI সক্রিয় করতে অক্ষম গ্রাহকদের জন্য, ইন্টারনেট থেকে দুর্বল SharePoint সার্ভার সংযোগ বিচ্ছিন্ন করার জোরালো পরামর্শ দেওয়া হয়েছে।
চলমান শোষণ প্রতিবেদনের পর, মাইক্রোসফ্ট দুর্বল সিস্টেমগুলিকে সুরক্ষিত করার জন্য CVE-2025-53770 এবং একটি নতুন আবিষ্কৃত ত্রুটি, CVE-2025-53771, উভয়ের জন্য প্যাচ প্রকাশ করেছে।
CISA-এর সতর্কীকরণ
মার্কিন সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (CISA) CVE-2025-53770 এর সক্রিয় ব্যবহার নিশ্চিত করে একটি সতর্কতা জারি করেছে। এই দুর্বলতা আক্রমণকারীদের নেটওয়ার্কের মাধ্যমে অননুমোদিত, দূরবর্তী কোড কার্যকর করার সুযোগ দেয়, যা যেকোনো আনপ্যাচড SharePoint পরিবেশের জন্য মারাত্মক হুমকি তৈরি করে।
