মাইক্রোসফটের বিশাল সিকিউরিটি আপডেট: ৬টি জিরো-ডে সহ ৫৯টি ভয়ংকর ত্রুটির সমাধান
Bug Mohol Tech Desk | তারিখ: ১৩ই ফেব্রুয়ারি ২০২৬
প্রযুক্তির এই দ্রুত পরিবর্তনশীল বিশ্বে সাইবার নিরাপত্তা যখন প্রতিদিন নতুন নতুন হুমকির সম্মুখীন হচ্ছে, ঠিক তখনই টেক জায়ান্ট মাইক্রোসফট তাদের সাম্প্রতিকতম 'প্যাচ টুয়েসডে' (Patch Tuesday) আপডেটের মাধ্যমে একটি বিশাল নিরাপত্তা সংশোধনী বা সিকিউরিটি আপডেট প্রকাশ করেছে। সাইবার স্পেসের বর্তমান পরিস্থিতি বিবেচনায় এই আপডেটটি অত্যন্ত তাৎপর্যপূর্ণ। মঙ্গলবার প্রকাশিত এই আপডেটে মাইক্রোসফটের বিভিন্ন সফটওয়্যার এবং ইকোসিস্টেমের সর্বমোট ৫৯টি গুরুতর দুর্বলতা বা ভালনারেবিলিটি (Vulnerability) ঠিক করা হয়েছে। তবে এর মধ্যে সাইবার সিকিউরিটি বিশ্লেষক এবং গবেষকদের জন্য সবচেয়ে বেশি উদ্বেগের বিষয় হলো ৬টি 'জিরো-ডে' (Zero-Day) ত্রুটি, যেগুলো ইতোমধ্যেই হ্যাকার বা সাইবার অপরাধীদের দ্বারা সক্রিয়ভাবে শোষিত বা এক্সপ্লয়েট (Exploited) হচ্ছে বলে নিশ্চিত করেছে প্রতিষ্ঠানটি। যারা প্রতিনিয়ত টেকনোলজি এবং সাইবার সিকিউরিটি নিয়ে কাজ করেন, তাদের জন্য এই আপডেটের প্রতিটি খুঁটিনাটি জানা অত্যন্ত জরুরি।
৫৯টি ত্রুটির বিস্তারিত পরিসংখ্যান এবং ধরন
মাইক্রোসফটের প্রকাশিত এই ৫৯টি ত্রুটির মাত্রাকে যদি আমরা বিশ্লেষণ করি, তবে দেখা যায় এর মধ্যে ৫টি ত্রুটিকে 'ক্রিটিক্যাল' বা অত্যন্ত মারাত্মক হিসেবে চিহ্নিত করা হয়েছে। বাকিগুলোর মধ্যে ৫২টি 'ইমপর্টেন্ট' (গুরুত্বপূর্ণ) এবং ২টি 'মডারেট' (মাঝারি) মাত্রার।
ত্রুটিগুলোর ধরন বা ক্যাটাগরি বিশ্লেষণ করলে হ্যাকারদের বর্তমান আক্রমণের কৌশল সম্পর্কে একটি পরিষ্কার ধারণা পাওয়া যায়। প্যাচ করা এই দুর্বলতাগুলোর মধ্যে সবচেয়ে বেশি—২৫টি ত্রুটি হলো 'প্রিভিলেজ এসকালেশন' (Privilege Escalation) বা অধিকার বৃদ্ধির। এর মানে হলো, একজন সাধারণ ব্যবহারকারীর অ্যাক্সেস নিয়ে সিস্টেমে ঢুকে হ্যাকাররা নিজেদের অ্যাডমিন বা সিস্টেম লেভেলের ক্ষমতায় উন্নীত করতে পারত। এরপরেই রয়েছে ১২টি 'রিমোট কোড এক্সিকিউশন' (RCE) ত্রুটি, যা হ্যাকারদের দূর থেকে বসে টার্গেট কম্পিউটারে ক্ষতিকর কোড চালানোর সুযোগ দেয়। এছাড়াও রয়েছে ৭টি স্পুফিং (Spoofing), ৬টি ইনফরমেশন ডিসক্লোজার বা তথ্য ফাঁসের ত্রুটি, ৫টি সিকিউরিটি ফিচার বাইপাস, ৩টি ডিনায়েল-অফ-সার্ভিস (DoS) এবং ১টি ক্রস-সাইট স্ক্রিপ্টিং (XSS) দুর্বলতা।
এখানে উল্লেখ্য যে, মাইক্রোসফট তাদের জানুয়ারি ২০২৬-এর প্যাচ টুয়েসডে আপডেটের পর থেকে এজ (Edge) ব্রাউজারের জন্য আরও ৩টি অতিরিক্ত সিকিউরিটি ত্রুটির সমাধান করেছে। এর মধ্যে অ্যান্ড্রয়েড ডিভাইসের এজ ব্রাউজারের একটি মাঝারি মাত্রার ত্রুটি (CVE-2026-0391, CVSS স্কোর: 6.5) ছিল, যা কাজে লাগিয়ে আক্রমণকারীরা নেটওয়ার্কের মাধ্যমে স্পুফিং করতে পারত। মূলত ব্যবহারকারীর ইন্টারফেসে ভুল তথ্য প্রদর্শন করে এই আক্রমণ চালানো হতো।
সবচেয়ে বড় হুমকি: ৬টি সক্রিয় জিরো-ডে (Zero-Day) ভালনারেবিলিটি
এই মাসের আপডেটের সবচেয়ে গুরুত্বপূর্ণ অংশ হলো সেই ৬টি ত্রুটি, যেগুলো ইতোমধ্যেই হ্যাকাররা ব্যবহার করছে। নিচে এগুলোর বিস্তারিত দেওয়া হলো:
- ১. CVE-2026-21510 (CVSS স্কোর: 8.8): এটি উইন্ডোজ শেলের (Windows Shell) একটি প্রটেকশন মেকানিজম বা সুরক্ষা ব্যবস্থার ব্যর্থতা। এর ফলে একজন অননুমোদিত আক্রমণকারী নেটওয়ার্কের মাধ্যমে উইন্ডোজের গুরুত্বপূর্ণ সিকিউরিটি ফিচার বাইপাস বা এড়িয়ে যেতে সক্ষম হয়।
- ২. CVE-2026-21513 (CVSS স্কোর: 8.8): এটি মাইক্রোসফট এমএসএইচটিএমএল (MSHTML) ফ্রেমওয়ার্কের একটি ত্রুটি। এই ত্রুটি কাজে লাগিয়েও আক্রমণকারীরা নেটওয়ার্কের মাধ্যমে নিরাপত্তা ব্যবস্থা ফাঁকি দিতে পারে।
- ৩. CVE-2026-21514 (CVSS স্কোর: 7.8): মাইক্রোসফট অফিস ওয়ার্ডের (Microsoft Office Word) এই ত্রুটিটি মূলত আনট্রাস্টেড বা অনিরাপদ ইনপুটের ওপর নির্ভরতার কারণে তৈরি হয়েছে। এর ফলে লোকালি বা স্থানীয়ভাবে সিকিউরিটি ফিচার বাইপাস করা সম্ভব হয়।
- ৪. CVE-2026-21519 (CVSS স্কোর: 7.8): ডেস্কটপ উইন্ডো ম্যানেজারে (Desktop Window Manager) 'টাইপ কনফিউশন' বা বেমানান ধরনের রিসোর্স ব্যবহারের এই ত্রুটিটি একজন আক্রমণকারীকে লোকাল সিস্টেমে তার প্রিভিলেজ বা ক্ষমতা বাড়ানোর সুযোগ দেয়।
- ৫. CVE-2026-21525 (CVSS স্কোর: 6.2): উইন্ডোজ রিমোট অ্যাক্সেস কানেকশন ম্যানেজারে একটি 'নাল পয়েন্টার ডিরেফারেন্স' ত্রুটি, যা আক্রমণকারীকে লোকালি ডিনায়েল-অফ-সার্ভিস (DoS) অ্যাটাক করার সুযোগ দেয়, ফলে সিস্টেম কাজ করা বন্ধ করে দিতে পারে।
- ৬. CVE-2026-21533 (CVSS স্কোর: 7.8): উইন্ডোজ রিমোট ডেস্কটপে অনুপযুক্ত প্রিভিলেজ ম্যানেজমেন্টের কারণে এই ত্রুটি সৃষ্টি হয়েছে, যা হ্যাকারদের সিস্টেমে অ্যাডমিন ক্ষমতা পাইয়ে দিতে পারে।
মাইক্রোসফটের নিজস্ব নিরাপত্তা দল এবং গুগল থ্রেট ইন্টেলিজেন্স গ্রুপ (GTIG) যৌথভাবে প্রথম তিনটি ত্রুটি শনাক্ত করেছে। যদিও এই ত্রুটিগুলো কীভাবে ঠিক ব্যবহার করা হচ্ছে বা এগুলো কোনো নির্দিষ্ট সাইবার ক্যাম্পেইনের অংশ কি না, সে সম্পর্কে এখনো বিস্তারিত তথ্য প্রকাশ করা হয়নি।
বিশেষজ্ঞদের মতামত ও হ্যাকারদের কৌশল
এই দুর্বলতাগুলোর ভয়াবহতা সম্পর্কে অ্যাকশনওয়ান (Action1)-এর ভালনারেবিলিটি রিসার্চ ডিরেক্টর জ্যাক বিসার বলেন, "CVE-2026-21513 হলো MSHTML ফ্রেমওয়ার্কের একটি সিকিউরিটি ফিচার বাইপাস ত্রুটি। MSHTML হলো উইন্ডোজের একটি কোর উপাদান যা এইচটিএমএল (HTML) কন্টেন্ট রেন্ডার করতে ব্যবহৃত হয়। এই ত্রুটির কারণে ব্যবহারকারী যখন কোনো ক্ষতিকর ফাইলে ক্লিক করে, তখন উইন্ডোজের যে সতর্কবার্তা আসার কথা, তা আর আসে না। অর্থাৎ, মাত্র এক ক্লিকেই হ্যাকাররা নীরবে ব্যবহারকারীর পিসিতে বিপজ্জনক কাজ করে ফেলতে পারে।"
টেনেবল (Tenable)-এর সিনিয়র রিসার্চ ইঞ্জিনিয়ার সাতনাম নারাং জানিয়েছেন যে, প্রথম তিনটি ত্রুটির মধ্যে কাজের ধরনে বেশ মিল রয়েছে। তবে পার্থক্য হলো, CVE-2026-21513 এইচটিএমএল ফাইলের মাধ্যমে ছড়ানো যায়, আর CVE-2026-21514 শুধুমাত্র মাইক্রোসফট অফিস ফাইলের মাধ্যমে কাজ করে।
অন্যদিকে, লোকাল প্রিভিলেজ এসকালেশন (Local Privilege Escalation) ত্রুটিগুলো সম্পর্কে ইমারসিভ (Immersive)-এর সাইবার থ্রেট রিসার্চ ডিরেক্টর কেভ ব্রিন বলেন, "এই ত্রুটিগুলো কাজে লাগাতে হলে হ্যাকারকে আগে থেকেই টার্গেট কম্পিউটারে কোনো না কোনোভাবে অ্যাক্সেস পেতে হবে। সেটি হতে পারে কোনো ম্যালিশিয়াস অ্যাটাচমেন্ট, অন্য কোনো রিমোট কোড এক্সিকিউশন ত্রুটি, অথবা অন্য কোনো কম্প্রোমাইজড সিস্টেম থেকে ল্যাটেরাল মুভমেন্টের মাধ্যমে। একবার অ্যাক্সেস পেয়ে গেলে হ্যাকাররা এই ত্রুটিগুলো ব্যবহার করে নিজেদের ক্ষমতা 'SYSTEM' লেভেলে নিয়ে যেতে পারে। আর একবার এই ক্ষমতা পেয়ে গেলে তারা যেকোনো অ্যান্টিভাইরাস বন্ধ করতে, নতুন ম্যালওয়্যার ইনস্টল করতে বা সিস্টেমের গোপন ক্রেডেনশিয়াল চুরি করতে পারে, যা পুরো ডোমেইনকেই ধ্বংসের মুখে ঠেলে দিতে পারে।"
ক্রাউডস্ট্রাইক (CrowdStrike), যারা মূলত CVE-2026-21533 ত্রুটিটি রিপোর্ট করেছে, তারা জানিয়েছে যে এই ত্রুটি ব্যবহার করে হ্যাকাররা একটি সার্ভিস কনফিগারেশন কী (Key) পরিবর্তন করে ফেলে এবং সেখানে নিজেদের নিয়ন্ত্রিত একটি কী বসিয়ে দেয়। এর ফলে তারা অ্যাডমিনিস্ট্রেটর গ্রুপে নতুন একটি ইউজার অ্যাকাউন্ট তৈরি করে পুরো সিস্টেমের দখল নিতে পারে।
সরকারি পদক্ষেপ এবং CISA-এর নির্দেশিকা
পরিস্থিতির গুরুত্ব বিবেচনা করে মার্কিন যুক্তরাষ্ট্রের সাইবার সিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (CISA) এই ৬টি ত্রুটিকেই তাদের 'নোন এক্সপ্লয়েটেড ভালনারেবিলিটি' (KEV) ক্যাটালগে যুক্ত করেছে। এর পাশাপাশি সমস্ত ফেডারেল সিভিলিয়ান এক্সিকিউটিভ ব্রাঞ্চ (FCEB) এজেন্সিগুলোকে আগামী ৩ মার্চ, ২০২৬-এর মধ্যে এই প্যাচগুলো ইনস্টল করার কঠোর নির্দেশ দেওয়া হয়েছে।
সিকিউর বুট (Secure Boot) সার্টিফিকেট রিনিউয়াল
নিয়মিত আপডেটের পাশাপাশি মাইক্রোসফট এই মাসে তাদের সিকিউর বুট সার্টিফিকেটও আপডেট করছে। ২০১১ সালের মূল সার্টিফিকেটগুলোর মেয়াদ ২০২৬ সালের জুনের শেষের দিকে শেষ হয়ে যাবে। তাই নতুন এই আপডেট প্রক্রিয়ার মাধ্যমে স্বয়ংক্রিয়ভাবে নতুন সার্টিফিকেট ইনস্টল হয়ে যাবে। মাইক্রোসফট জানিয়েছে, "মেয়াদ শেষ হওয়ার আগে কোনো পিসি যদি নতুন সার্টিফিকেট না পায়, তবে সাধারণ সফটওয়্যারগুলো চলবে ঠিকই, কিন্তু পিসির সিকিউরিটি ব্যবস্থা অত্যন্ত দুর্বল হয়ে পড়বে এবং ভবিষ্যতে বুট-লেভেলের নিরাপত্তা আর পাওয়া যাবেবিধা পাওয়া যাবে না।" এর ফলে নতুন অপারেটিং সিস্টেম বা হার্ডওয়্যার লোড হতেও সমস্যা হতে পারে।
ভবিষ্যতের নিরাপত্তা: মাইক্রোসফটের নতুন দুই উদ্যোগ
উইন্ডোজের ডিফল্ট নিরাপত্তাকে আরও শক্তিশালী করতে মাইক্রোসফট 'সিকিউর ফিউচার ইনিশিয়েটিভ' এবং 'উইন্ডোজ রেসিলিয়েন্সি ইনিশিয়েটিভ'-এর অধীনে দুটি নতুন ফিচার আনছে:
- ১. উইন্ডোজ বেসলাইন সিকিউরিটি মোড (Windows Baseline Security Mode): এই ফিচারের মাধ্যমে উইন্ডোজ ডিফল্টভাবেই রানটাইম ইন্টিগ্রিটি সেফগার্ড চালু রাখবে। এর মানে হলো, এখন থেকে শুধুমাত্র সঠিকভাবে সাইন করা (Signed) বা অনুমোদিত অ্যাপ এবং ড্রাইভারগুলোই পিসিতে চলতে পারবে। এর ফলে সিস্টেমে অননুমোদিত কোনো পরিবর্তন আনা প্রায় অসম্ভব হয়ে যাবে।
- ২. ইউজার ট্রান্সপারেন্সি এবং কনসেন্ট (User Transparency and Consent): এটি অ্যাপল ম্যাকওএস-এর TCC ফ্রেমওয়ার্কের মতো কাজ করবে। এখন থেকে কোনো অ্যাপ যদি ব্যবহারকারীর ক্যামেরা, মাইক্রোফোন বা সংবেদনশীল ফাইল অ্যাক্সেস করতে চায়, অথবা ব্যাকগ্রাউন্ডে অন্য কোনো সফটওয়্যার ইনস্টল করার চেষ্টা করে, তবে উইন্ডোজ সাথে সাথে ব্যবহারকারীকে স্পষ্ট নোটিফিকেশন দেবে। মাইক্রোসফটের ডিস্টিংগুইশড ইঞ্জিনিয়ার লোগান আইয়ার জানিয়েছেন, "এই প্রম্পটগুলো এমনভাবে ডিজাইন করা হয়েছে যেন ব্যবহারকারী খুব সহজেই সিদ্ধান্ত নিতে পারেন এবং পরবর্তীতে চাইলে সেই পারমিশন পরিবর্তনও করতে পারেন।"
পরিশেষে, সাইবার জগতের এই প্রতিনিয়ত বদলে যাওয়া হুমকির মোকাবিলায় মাইক্রোসফটের এই ফেব্রুয়ারি প্যাচ টুয়েসডে আপডেটটি শুধু একটি সাধারণ আপডেট নয়, বরং একটি অপরিহার্য রক্ষাকবচ। বিশেষ করে জিরো-ডে ত্রুটিগুলো থেকে নিজেদের ডেটা এবং সিস্টেমকে সুরক্ষিত রাখতে সাধারণ ব্যবহারকারী থেকে শুরু করে কর্পোরেট আইটি অ্যাডমিন সবারই উচিত কালক্ষেপণ না করে দ্রুত এই আপডেটগুলো ইনস্টল করে নেওয়া।
Related Posts
🔔 আমাদের সাথে থাকুন — Bug Mohol এ বাংলায় সাইবার দুনিয়ার গভীরতম বিশ্লেষণ পাবেন।
