সাইবার নিরাপত্তা জগতে নতুন করে উদ্বেগ তৈরি করেছে Microsoft-এর BitLocker এনক্রিপশন সিস্টেমে ধরা পড়া একটি গুরুতর জিরো-ডে দুর্বলতা, যার নাম দেওয়া হয়েছে “YellowKey”। এই নিরাপত্তা ত্রুটিটি CVE-2026-45585 হিসেবে চিহ্নিত হয়েছে এবং এটি ব্যবহার করে আক্রমণকারীরা BitLocker-এর ফুল-ডিস্ক এনক্রিপশন বাইপাস করতে সক্ষম হতে পারে।
বর্তমানে Microsoft এখনও এই দুর্বলতার জন্য পূর্ণাঙ্গ নিরাপত্তা প্যাচ প্রকাশ করেনি। তবে প্রতিষ্ঠানটি জরুরি ভিত্তিতে কিছু mitigation guidance বা সাময়িক প্রতিকারমূলক ব্যবস্থা প্রকাশ করেছে, যাতে ব্যবহারকারীরা সম্ভাব্য সাইবার হামলা থেকে নিজেদের সুরক্ষিত রাখতে পারেন।
কোন কোন Windows সিস্টেম ঝুঁকিতে?
নিরাপত্তা গবেষকদের মতে, YellowKey দুর্বলতা মূলত নিচের সিস্টেমগুলোকে প্রভাবিত করছে:
- Windows 11-এর পরীক্ষিত সব সংস্করণ
- Windows Server 2022
- Windows Server 2025
তবে স্বস্তির বিষয় হলো, Windows 10 এই এক্সপ্লয়েটের দ্বারা আক্রান্ত নয় বলে নিশ্চিত করা হয়েছে।
বিশেষজ্ঞরা বলছেন, কোনও আক্রমণকারী যদি কোনও ডিভাইসে শারীরিক বা direct access পেয়ে যায়, তাহলে সে Windows Recovery Environment (WinRE)-এর মাধ্যমে সিস্টেমে অননুমোদিত প্রবেশ করতে পারে এবং BitLocker সুরক্ষা ভেঙে ডেটা অ্যাক্সেস করতে সক্ষম হতে পারে।
কীভাবে কাজ করছে YellowKey এক্সপ্লয়েট?
এই দুর্বলতার মাধ্যমে আক্রমণকারীরা Transactional NTFS ফিচারের অপব্যবহার করে WinRE-তে প্রবেশের সুযোগ নেয়। এরপর সিস্টেমের recovery process-কে কাজে লাগিয়ে BitLocker এনক্রিপশন বাইপাস করা সম্ভব হয়।
গবেষকদের মতে, এই আক্রমণ বিশেষভাবে “TPM-only” কনফিগারেশনের বিরুদ্ধে কার্যকর। এই সেটআপে recovery mode চলাকালীন ড্রাইভ স্বয়ংক্রিয়ভাবে unlock হয়ে যায়, যা সাইবার অপরাধীদের জন্য বড় সুযোগ তৈরি করে।
আরও উদ্বেগের বিষয় হলো, YellowKey-এর পাশাপাশি “GreenPlasma” নামের আরেকটি privilege escalation exploit-এর proof-of-concept (POC) কোডও প্রকাশ্যে এসেছে। এর মাধ্যমে আক্রমণকারী সিস্টেম-লেভেল privileges পেতে পারে।
Microsoft কী পরামর্শ দিয়েছে?
Microsoft এবং সাইবার নিরাপত্তা গবেষকরা প্রশাসকদের দ্রুত কিছু নিরাপত্তামূলক ব্যবস্থা নেওয়ার অনুরোধ জানিয়েছেন।
১. WinRE Registry পরিবর্তন
প্রথম ধাপে প্রশাসকদের WinRE image mount করে registry hive সম্পাদনা করতে বলা হয়েছে।
বিশেষভাবে:
- HKLM\System\CurrentControlSet\Control\Session Manager path-এ যেতে হবে
- “BootExecute” value থেকে “autofstx.exe” অংশটি সরিয়ে ফেলতে হবে
- এরপর image save করে WinRE unmount করতে হবে
এই পরিবর্তনের মাধ্যমে Transactional NTFS-এর অপব্যবহার ঠেকানো সম্ভব হতে পারে।
TPM+PIN Authentication চালুর পরামর্শ
Microsoft ব্যবহারকারীদের TPM-only authentication বন্ধ করে TPM+PIN authentication ব্যবহার করার পরামর্শ দিয়েছে।
এর ফলে system startup-এর সময় অতিরিক্ত PIN দিতে হবে, যা এই exploit কার্যকর হওয়া অনেকটাই কঠিন করে তুলবে।
যেসব ডিভাইস ইতিমধ্যেই BitLocker encryption ব্যবহার করছে, সেখানে PowerShell, Command Prompt অথবা Control Panel-এর মাধ্যমে authentication method পরিবর্তন করা যেতে পারে।
অন্যদিকে নতুন ডিভাইসের ক্ষেত্রে Microsoft Intune অথবা Group Policy ব্যবহার করে “Require additional authentication at startup” policy enable করার পরামর্শ দেওয়া হয়েছে।
TrendAI ও নিরাপত্তা পর্যবেক্ষণ
সাইবার নিরাপত্তা প্রতিষ্ঠান TrendAI জানিয়েছে, তারা ইতিমধ্যেই GreenPlasma exploit শনাক্ত করার জন্য নতুন VSAPI pattern update প্রকাশ করেছে।
এই exploit-গুলো Trojan.Win32.GREENPLASMA.A এবং Trojan.Win64.GREENPLASMA.A নামে শনাক্ত করা হচ্ছে।
TrendAI Vision One XDR-এর মাধ্যমে প্রশাসকদের নিচের বিষয়গুলো নজরে রাখতে বলা হয়েছে:
- System Volume Information-এর মধ্যে FsTx folder তৈরি হওয়া
- অস্বাভাবিক discovery commands execution
- সন্দেহজনক privilege escalation activity
বিশেষজ্ঞদের সতর্কবার্তা
সাইবার নিরাপত্তা বিশেষজ্ঞরা সতর্ক করেছেন যে, exploit code প্রকাশ্যে চলে আসায় এই দুর্বলতাগুলো দ্রুত weaponized হতে পারে। অর্থাৎ হ্যাকাররা খুব সহজেই বাস্তব হামলায় এগুলো ব্যবহার শুরু করতে পারে।
বিশেষজ্ঞদের মতে, যেসব প্রতিষ্ঠান Windows 11 বা Windows Server ব্যবহার করছে, তাদের অবিলম্বে mitigation steps কার্যকর করা উচিত। একইসঙ্গে Microsoft-এর ভবিষ্যৎ security patch এবং advisory নিয়মিত পর্যবেক্ষণ করাও জরুরি।
বর্তমানে YellowKey দুর্বলতা বিশ্বজুড়ে IT প্রশাসক এবং সাইবার নিরাপত্তা বিশেষজ্ঞদের মধ্যে বড় উদ্বেগের কারণ হয়ে উঠেছে।