घोटालेबाजों ने हथियार बनाने का एक तरीका ढूंढ लिया है माइक्रोसॉफ्ट का अपने उपयोगकर्ताओं के विरुद्ध स्वयं का बुनियादी ढाँचा। एक नई खोजी गई खामी बुरे कलाकारों को वैध Microsoft ईमेल पते से फ़िशिंग ईमेल भेजने की अनुमति देती है – वही जिसे कंपनी वास्तविक खाता अलर्ट के लिए उपयोग करती है – जिससे पारंपरिक सुरक्षा फ़िल्टर के माध्यम से घोटाले वाले संदेशों का पता लगाना लगभग असंभव हो जाता है। यह शोषण उन एंटरप्राइज़ ग्राहकों के लिए एक महत्वपूर्ण ख़तरा है जो Microsoft के डोमेन प्रमाणीकरण पर भरोसा करते हैं।
माइक्रोसॉफ्ट एक नए सुरक्षा संकट का सामना कर रहा है क्योंकि साइबर अपराधियों ने पता लगा लिया है कि स्पैम और फ़िशिंग लिंक वितरित करने के लिए कंपनी के आंतरिक ईमेल खातों में से एक को कैसे हाईजैक किया जाए। यह शोषण माइक्रोसॉफ्ट के अपने विश्वसनीय बुनियादी ढांचे को एक हथियार में बदल देता है, जिससे घोटालेबाजों को दुर्भावनापूर्ण ईमेल भेजने की अनुमति मिलती है जो मानव प्राप्तकर्ताओं और स्वचालित सुरक्षा प्रणालियों दोनों के लिए पूरी तरह से वैध प्रतीत होते हैं।
समझौता किया गया खाता वही है जिसे Microsoft नियमित रूप से खाता सुरक्षा, पासवर्ड रीसेट और सेवा अपडेट के बारे में वास्तविक सूचनाएं भेजने के लिए उपयोग करता है। यह इस भेद्यता को विशेष रूप से खतरनाक बनाता है – उपयोगकर्ताओं को इन ईमेल पर भरोसा करने के लिए बाध्य किया गया है, और अधिकांश ईमेल सुरक्षा प्रणालियाँ स्वचालित रूप से सत्यापित Microsoft डोमेन से संदेशों को श्वेतसूची में डाल देती हैं। इस आक्रमण वेक्टर के विरुद्ध पारंपरिक स्पैम फ़िल्टर अनिवार्य रूप से बेकार हैं।
सुरक्षा शोधकर्ता ज़ैक व्हिटेकर ने कहानी को तोड़ दिया टेकक्रंचयह खुलासा करते हुए कि जंगल में खामियों का पहले से ही सक्रिय रूप से शोषण किया जा चुका है। दुरुपयोग का दायरा स्पष्ट नहीं है, लेकिन माइक्रोसॉफ्ट के एंटरप्राइज़ ग्राहक आधार के लिए इसके निहितार्थ बड़े पैमाने पर हैं, जिसमें अधिकांश फॉर्च्यून 500 कंपनियां शामिल हैं।
जो चीज़ इस शोषण को इतना घातक बनाती है, वह है भरोसे की श्रृंखला, जिसका यह शोषण करती है। Microsoft ने विशेष रूप से ईमेल स्पूफिंग को रोकने के लिए SPF, DKIM और DMARC जैसे ईमेल प्रमाणीकरण मानकों के निर्माण में दशकों का समय बिताया है। लेकिन इस हमले में कुछ भी नकली करने की आवश्यकता नहीं है – यह वास्तविक चीज़ का उपयोग कर रहा है। ईमेल हर तकनीकी सत्यापन जांच को पास कर लेते हैं क्योंकि वे वास्तव में माइक्रोसॉफ्ट के बुनियादी ढांचे से उत्पन्न होते हैं।
एंटरप्राइज़ आईटी टीमों के लिए, यह एक दुःस्वप्न परिदृश्य बनाता है। आप आवश्यक सुरक्षा कार्यों को बाधित किए बिना Microsoft के वैध खाता अधिसूचना ईमेल को आसानी से ब्लॉक नहीं कर सकते। कर्मचारियों को वास्तविक पासवर्ड रीसेट अनुरोध और सुरक्षा अलर्ट प्राप्त करने की आवश्यकता है। लेकिन अब उन्हीं ईमेल में फ़िशिंग लिंक या मैलवेयर हो सकते हैं।
ऐसा प्रतीत होता है कि यह भेद्यता स्वचालित ईमेल उत्पन्न करने वाले Microsoft के आंतरिक सिस्टम पर अपर्याप्त नियंत्रण के कारण उत्पन्न हुई है। किसी तरह, हमलावरों ने वैध प्रेषक क्रेडेंशियल्स को बनाए रखते हुए मनमानी सामग्री भेजने के लिए इन प्रणालियों को ट्रिगर या हेरफेर करने का एक तरीका ढूंढ लिया है। सटीक तकनीकी तंत्र का सार्वजनिक रूप से खुलासा नहीं किया गया है – नकल हमलों को रोकने की संभावना है जबकि माइक्रोसॉफ्ट इस मुद्दे को ठीक करने के लिए संघर्ष कर रहा है।
ईमेल सुरक्षा समस्याओं वाला यह Microsoft का पहला रोडियो नहीं है। कंपनी को विभिन्न एक्सचेंज सर्वर कमजोरियों और क्लाउड सुरक्षा अंतरालों के लिए वर्षों से आलोचना का सामना करना पड़ा है। लेकिन यह विशेष कारनामा विशेष रूप से शर्मनाक है क्योंकि यह उपयोगकर्ताओं को सुरक्षित रखने के लिए डिज़ाइन किए गए सिस्टम को हथियार बनाता है।
माइक्रोसॉफ्ट के लिए इससे बुरा समय नहीं हो सकता, जो कई हाई-प्रोफाइल उल्लंघनों के बाद खुद को सुरक्षा-प्रथम कंपनी के रूप में स्थापित करने के लिए कड़ी मेहनत कर रहा है। सीईओ सत्या नडेला ने बार-बार कंपनी की सर्वोच्च प्राथमिकता के रूप में सुरक्षा पर जोर दिया है, खासकर इसके बढ़ते क्लाउड सेवा व्यवसाय के लिए। एक कारनामा जो माइक्रोसॉफ्ट के अपने विश्वसनीय ईमेल सिस्टम को फ़िशिंग प्लेटफ़ॉर्म में बदल देता है, उस संपूर्ण कथा को कमज़ोर कर देता है।
सुरक्षा विशेषज्ञ पहले से ही एंटरप्राइज़ ग्राहकों को Microsoft से आने का दावा करने वाले किसी भी ईमेल के लिए अतिरिक्त सत्यापन चरण लागू करने की चेतावनी दे रहे हैं, भले ही वे सभी तकनीकी प्रमाणीकरण जाँच पास कर लें। इसमें कर्मचारियों को अलग-अलग चैनलों के माध्यम से खाता अलर्ट सत्यापित करने या पासवर्ड रीसेट प्रक्रियाओं के आसपास सख्त नियंत्रण लागू करने की आवश्यकता शामिल हो सकती है।
Microsoft ने अभी तक भेद्यता के बारे में कोई सार्वजनिक बयान जारी नहीं किया है या समाधान के लिए कोई समयरेखा प्रदान नहीं की है। कंपनी के विशिष्ट प्रतिक्रिया पैटर्न में औपचारिक घोषणाएं करने से पहले चुपचाप सुरक्षा मुद्दों को ठीक करना शामिल है, लेकिन टेकक्रंच द्वारा सार्वजनिक प्रकटीकरण तेज, अधिक पारदर्शी प्रतिक्रिया को मजबूर कर सकता है।
Microsoft 365 और Azure इंफ्रास्ट्रक्चर चलाने वाले संगठनों के लिए, यह उनकी ईमेल सुरक्षा नीतियों की समीक्षा करने के लिए एक चेतावनी है। केवल प्रेषक प्रमाणीकरण पर भरोसा करना अब पर्याप्त नहीं है जब प्रमाणित प्रेषक से ही समझौता किया गया हो। संवेदनशील खाता परिवर्तनों के लिए बहु-कारक सत्यापन, कर्मचारी सुरक्षा जागरूकता प्रशिक्षण और ईमेल सामग्री फ़िल्टरिंग की अतिरिक्त परतें वैकल्पिक के बजाय आवश्यक होती जा रही हैं।
यहां व्यापक पाठ सिर्फ माइक्रोसॉफ्ट से आगे तक फैला हुआ है। जैसे-जैसे कंपनियां प्रमुख क्लाउड प्रदाताओं के साथ अपने बुनियादी ढांचे को मजबूत करती हैं, उन प्लेटफार्मों की सुरक्षा विफलता का एक बिंदु बन जाती है। जब किसी विश्वसनीय सिस्टम का शोषण होता है, तो नुकसान तुरंत उन लाखों उपयोगकर्ताओं तक फैल सकता है जिन्हें उस सटीक सिस्टम पर भरोसा करने के लिए प्रशिक्षित किया गया है।
यह Microsoft ईमेल शोषण विश्वास के बुनियादी ढांचे में एक बुनियादी खराबी का प्रतिनिधित्व करता है जिस पर एंटरप्राइज़ सुरक्षा टीमें वर्षों से भरोसा करती रही हैं। हालाँकि Microsoft अंततः इस विशिष्ट खामी को दूर कर देगा, यह घटना एक गहरी समस्या को उजागर करती है – मुट्ठी भर क्लाउड प्रदाताओं के साथ महत्वपूर्ण बुनियादी ढांचे की एकाग्रता जब चीजें गलत होती हैं तो व्यापक कमजोरियाँ पैदा करती हैं। अभी के लिए, सुरक्षा टीमों को प्रमाणित Microsoft ईमेल को भी संदेह की दृष्टि से देखने और अतिरिक्त सत्यापन परतों को लागू करने की आवश्यकता है। अकेले प्रेषक डोमेन पर भरोसा करने के दिन खत्म हो गए हैं, भले ही वह डोमेन दुनिया की सबसे बड़ी तकनीकी कंपनियों में से एक का हो।
