Microsoft এর বড় সিকিউরিটি আপডেট: ৬৭টি দুর্বলতার প্যাচ, WEBDAV Zero-Day আগে থেকেই এক্সপ্লোয়েটেড!
🔍 Microsoft জুন ২০২৫-এ প্রকাশ করেছে একটি গুরুত্বপূর্ণ নিরাপত্তা আপডেট, যেখানে মোট ৬৭টি সিকিউরিটি ফ্ল’ (CVE) ফিক্স করা হয়েছে। এর মধ্যে একটি Zero-Day Vulnerability (CVE-2025-33053) ইতোমধ্যেই “wild”-এ active exploitation এর শিকার হয়েছে, যা WEBDAV (Web Distributed Authoring and Versioning) প্রোটোকলের মাধ্যমে রিমোট কোড এক্সিকিউশনে ব্যবহার হয়েছে।
⚠️ CVE-2025-33053: এখন পর্যন্ত WEBDAV-এর প্রথম Zero-Day
এই দুর্বলতার CVSS স্কোর 8.8, এবং এটিকে এক্সপ্লয়েট করা সম্ভব হয় যখন ব্যবহারকারী একটি স্পেশালি ক্রাফটেড .url ফাইলে ক্লিক করে। এর ফলে হ্যাকাররা ইউজারের মেশিনে রিমোট কোড চালাতে পারে, এমনকি মালওয়্যার ইনস্টল করেও দিতে পারে।
Microsoft জানিয়েছে, এই বাগটি প্রথম আবিষ্কার করেন Check Point Research এর গবেষকরা — Alexandra Gofman ও David Driker।
🧠 Horus Agent: Stealth Falcon-এর নতুন অস্ত্র
Check Point-এর গবেষণায় প্রকাশ পেয়েছে যে Horus Agent আসলে Apollo implant-এর একটি উন্নততর সংস্করণ, যা Mythic C2 Framework-এর জন্য বানানো একটি কাস্টম .NET বেসড এজেন্ট ছিল। তবে Horus সম্পূর্ণ নতুনভাবে C++ দিয়ে লেখা, এবং এতে যুক্ত হয়েছে উন্নত স্টিলথ ও ফিঙ্গারপ্রিন্টিং ক্ষমতা।
“Horus মূলত একটি লাইটওয়েট অথচ পাওয়ারফুল ইনপ্লান্ট, যা ইনফেক্টেড সিস্টেম শনাক্ত করে এবং পরবর্তী স্টেজের পে-লোড ডেলিভারিতে সহায়তা করে — মাত্র ১২০KB আকারে।”
🛠️ Stealth Falcon ব্যবহার করেছে আরও কয়েকটি লুকানো টুলস:
- Credential Dumper – Active Directory ও Domain Controller ফাইল চুরি করতে ব্যবহৃত।
- Passive Backdoor – ইনকামিং অনুরোধ শুনে শেলকোড এক্সিকিউট করে।
- Keylogger – প্রতিটি কীস্ট্রোক রেকর্ড করে
C:/windows/temp/~TN%LogName%.tmpফাইলে সংরক্ষণ করে।
🔐 লক্ষণীয় যে এই Keylogger-এর কোনও C2 সংযোগ নেই — অর্থাৎ এটি অন্য কোনও টুলের সাহায্যে চুরি করা ডেটা এক্সফিল্ট্রেট করে।
🕵️♂️ Advanced Obfuscation ও Code Protection
Stealth Falcon তাদের পে-লোড গুলোতে commercial obfuscators ও custom প্রোটেকশন টুলস ব্যবহার করে। এর ফলে এগুলোর রিভার্স ইঞ্জিনিয়ারিং কঠিন হয় এবং ট্র্যাকিং জটিল হয়ে পড়ে। এর মধ্যে রয়েছে:
- String Encryption
- Control Flow Flattening
- Dynamic Shellcode Injection
🚨 CISA জরুরি ভিত্তিতে আপডেট নির্দেশ দিয়েছে
CVE-2025-33053 এতটাই গুরুত্বপূর্ণ যে CISA (US Cybersecurity and Infrastructure Security Agency) একে Known Exploited Vulnerabilities (KEV) তালিকায় যুক্ত করেছে এবং জুলাই ১, ২০২৫ এর মধ্যে US ফেডারেল এজেন্সিগুলোকে প্যাচ প্রয়োগ করতে বলেছে।
🧨 আরও গুরুত্বপূর্ণ দুর্বলতাসমূহ যেগুলো Microsoft এই মাসে ঠিক করেছে:
| CVE | বর্ণনা | CVSS স্কোর |
|---|---|---|
| CVE-2025-47966 | Power Automate-এ privilege escalation | 9.8 |
| CVE-2025-32713 | CLFS ড্রাইভারে privilege escalation | 7.8 |
| CVE-2025-33070 | Windows Netlogon flaw | 8.1 |
| CVE-2025-33073 | SMB ক্লায়েন্টে privilege escalation | 8.8 |
| CVE-2025-33071 | KDC Proxy-তে RCE | 8.1 |
| CVE-2025-3052 | Secure Boot bypass | 6.7 |
👉 CLFS Driver-এর দুর্বলতা নিয়ে নিরাপত্তা বিশেষজ্ঞরা বিশেষভাবে চিন্তিত, কারণ এটি heap-based buffer overflow যা র্যানসমওয়্যার অপারেশনে পূর্বে ব্যবহার হয়েছে।
🧨 Enterprise-এ WebDAV-এর ব্যবহারে সতর্কবার্তা
"WebDAV অনেক কোম্পানিতে বৈধ ফাইল শেয়ারিং ও কোলাবরেশনের জন্য চালু থাকে, কিন্তু অধিকাংশই এর নিরাপত্তা রিস্ক সম্পর্কে সচেতন নয়।" — Mike Walters, Action1
🔥 Secure Boot বাইপাস: ফার্মওয়্যার স্তরের হুমকি
Redmond থেকে একটি অ্যালার্টে জানানো হয়েছে, Microsoft-এর third-party UEFI certificate দিয়ে সাইন করা একটি অ্যাপ্লিকেশনে ভয়ংকর একটি দুর্বলতা (CVE-2025-4275) আবিষ্কৃত হয়েছে, যার মাধ্যমে UEFI Secure Boot পুরোপুরি বাইপাস করা সম্ভব। হ্যাকাররা চাইলে অপারেটিং সিস্টেম লোড হওয়ার আগেই ম্যালিসিয়াস কোড রান করতে পারে — যার মানে, পারসিস্টেন্ট ম্যালওয়্যার বা বুটলেভেল রুটকিট ইনজেক্ট করা সহজ।
🎯 দুর্বলতা কোথায়?
এই দুর্বলতা পাওয়া গেছে DT Research এর দুটি অ্যাপ্লিকেশনে:
- DTBios
- BiosFlashShell
CERT/CC জানিয়েছে, একটি special crafted NVRAM variable ব্যবহার করে একটি arbitrary write primitive চালানো যায়, যা দিয়ে Secure Boot ভেরিফিকেশন প্রটোকল — Security2 Architectural Protocol — পরিবর্তন করে ফেলা যায়।
🧬 Hydroph0bia: আরেকটি Secure Boot দুর্বলতা যা Microsoft-কে প্রভাবিত না করলেও বিপজ্জনক
আরেকটি নতুন Secure Boot বাইপাস বাগ — CVE-2025-4275, কোডনেম Hydroph0bia — পাওয়া গেছে Insyde H2O এর একটি UEFI অ্যাপ্লিকেশনে। এটি একটি unprotected NVRAM variable (SecureFlashCertData) ব্যবহার করে ডিজিটাল সার্টিফিকেট ইনজেক্ট করতে দেয়।
➡️ ফলে একজন আক্রমণকারী নিজের সার্টিফিকেট ইনজেক্ট করে arbitrary firmware কোড রান করাতে পারে — যা শুরু থেকেই মেশিন নিয়ন্ত্রণ করতে সক্ষম।
📌 CERT/CC বলেছে, "এই NVRAM ভ্যারিয়েবলটিকে trusted storage হিসেবে ব্যবহারের ফলে সম্পূর্ণ ফার্মওয়্যার সিকিউরিটি চেইন ভেঙে পড়ে।"
🚨 ঝুঁকিতে কে?
যেকোনো সিস্টেম যেখানে:
- WebDAV চালু আছে
- UEFI Secure Boot ব্যবহার হচ্ছে
- Microsoft Third-Party UEFI Certificate ইনস্টল করা আছে
তাদের জন্য এই দুর্বলতা ক্রিটিক্যাল লেভেলের হুমকি।
🧩 Bug Mohol পরামর্শ দেয়:
- ✅ UEFI ফার্মওয়্যার আপডেট করুন
- ✅ Secure Boot কনফিগারেশন রিভিউ করুন
- ✅ WebDAV সার্ভার ও অ্যাক্সেস লগ নিয়মিত মনিটর করুন
- ✅ সন্দেহজনক .url বা .exe ফাইল ক্লিক করা থেকে বিরত থাকুন
- ✅ Endpoint Protection টুল দিয়ে বুট টাইম স্ক্যান চালান
উপসংহার
Microsoft-এর সাম্প্রতিক নিরাপত্তা আপডেট এবং Zero-Day এক্সপ্লোয়েটগুলো আমাদের স্মরণ করিয়ে দেয়, সাইবার সুরক্ষা কখনোই অবহেলা করার বিষয় নয়। আপনি বা আপনার প্রতিষ্ঠান যত দ্রুত সম্ভব আপডেটগুলো প্রয়োগ করলে নিরাপত্তা ঝুঁকি অনেকটাই কমবে। সতর্ক থাকা এবং নিয়মিত সিকিউরিটি প্যাচ ইনস্টল করাই সবচেয়ে বড় নিরাপত্তা গ্যারান্টি।
Bug Mohol-এ আমরা সর্বদা আপনাদের জন্য আনছি সর্বশেষ এবং সঠিক তথ্য। নিরাপত্তা নিয়ে প্রশ্ন থাকলে আমাদের সাথে যোগাযোগ করুন, এবং সাইবার সুরক্ষায় সচেতন থাকুন।
✍️ লেখক: Bugmohol
