Azure Escape: মাইক্রোসফট ক্লাউডের নিরাপত্তা বেষ্টনী ভেঙে হ্যাকারদের অনুপ্রবেশ!

Azure Escape বলতে বোঝায় এমন আক্রমণ যেখানে আক্রমণকারী তার নির্ধারিত Security Boundary অতিক্রম করে। Azure-এ মূলত তিন ধরনের Boundary রয়েছে— Tenant Boundary (Azure AD-এর ভিন্ন সংস্থা), Subscription Boundary (Billing Unit), এবং Resource Group Boundary (Logical Container)। প্রতিটি Boundary-এর জন্য আলাদা Permission Model এবং Trust Relationship রয়েছে।

Tenant Escape হলো সবচেয়ে বিপজ্জনক ধরন, যেখানে আক্রমণকারী একটি Tenant থেকে অন্য একটি Tenant-এ প্রবেশ করতে পারে। Multi-Tenant Architecture-এ এটি ঘটার কথা নয়, কিন্তু Microsoft-এর Cloud Infrastructure-এ একাধিকবার এমন দুর্বলতা পাওয়া গেছে। Subscription Escape-এ আক্রমণকারী একই Tenant-এর মধ্যে অন্য Subscription-এ Lateral Movement করে। Resource Group Escape তুলনামূলক কম মারাত্মক কিন্তু সংস্থার অভ্যন্তরে গুরুত্বপূর্ণ ডেটা চুরির জন্য যথেষ্ট।

Azure-এর Identity Provider হলো Azure Active Directory বা সাম্প্রতিক নামকরণ অনুযায়ী Microsoft Entra ID। এটি Authentication, Authorization এবং Identity Lifecycle Management পরিচালনা করে। Azure Resource Manager বা ARM হলো Control Plane যার মাধ্যমে রিসোর্স তৈরি, পরিবর্তন এবং মুছে ফেলা যায়। এই দুটি কম্পোনেন্টের যেকোনোটিতে দুর্বলতা থাকলে পুরো Azure Tenant ঝুঁকিতে পড়ে।

Managed Identity Abuse

Azure-এ Managed Identity হলো একটি Service Account যা স্বয়ংক্রিয়ভাবে Azure Resource-এ সংযুক্ত থাকে। এটি Authentication Token পরিচালনা করার ঝামেলা থেকে ডেভেলপারদের মুক্তি দেয়। কিন্তু এই সুবিধা আক্রমণকারীদের জন্যও সুযোগ তৈরি করে। যদি একটি Azure VM-তে SSRF বা RCE দুর্বলতা থাকে, আক্রমণকারী Instance Metadata Service Endpoint-এ Request পাঠিয়ে Managed Identity-র Access Token চুরি করতে পারে।

Metadata Endpoint হলো 169.254.169.254 যা শুধুমাত্র VM-এর ভেতর থেকে অ্যাক্সেসযোগ্য। আক্রমণকারী যদি VM-এর ভেতরে কোনো Code Execution অর্জন করে, তাহলে নিম্নলিখিত API Call দিয়ে Token পেতে পারে। এই Token পাওয়ার পর Azure CLI বা ARM REST API ব্যবহার করে সেই Managed Identity-র সমস্ত Permission ব্যবহার করা সম্ভব। যদি Managed Identity-কে Contributor বা Owner Role দেওয়া থাকে, তাহলে পুরো Subscription আক্রমণকারীর নিয়ন্ত্রণে চলে যাবে।

Service Principal হাইজ্যাকিং

Service Principal হলো Application-এর জন্য Identity। প্রতিটি Service Principal-এর সাথে এক বা একাধিক Credentials যুক্ত থাকে— Password (Client Secret) বা Certificate। যদি আক্রমণকারী Azure AD-তে Application.ReadWrite.All বা Application Administrator Role অর্জন করতে পারে, তাহলে যেকোনো Service Principal-এ নতুন Credential যুক্ত করে সেটি দিয়ে Sign In করতে পারবে।

এই কৌশলটি অত্যন্ত বিপজ্জনক কারণ Service Principal প্রায়ই High Privilege Role যেমন Global Administrator-এ Assigned থাকে। Azure AD Graph API বা Microsoft Graph API-এর মাধ্যমে এই Manipulation সম্ভব। আক্রমণকারী Persistence অর্জনের জন্য প্রায়ই এই কৌশল ব্যবহার করে কারণ Service Principal-এ যুক্ত Credential সহজে চোখে পড়ে না।

Cross-Subscription Lateral Movement

Azure-এ একাধিক Subscription একই Azure AD Tenant-এর অধীনে থাকতে পারে। যদি কোনো User বা Service Principal একাধিক Subscription-এ Permission রাখে, তাহলে এটি Cross-Subscription Lateral Movement-এর সুযোগ তৈরি করে। বিশেষ করে Privileged Identity Management সঠিকভাবে কনফিগার না থাকলে, একজন Compromised User-এর মাধ্যমে আক্রমণকারী একাধিক Subscription-এ প্রবেশ করতে পারে।

Management Group হলো Subscription-এর উপরের একটি Hierarchy। যদি কারো Management Group-এ Owner Role থাকে, তাহলে সেই Hierarchy-র সমস্ত Subscription-এ তার Owner Role অটোমেটিক্যালি Propagate হয়। আক্রমণকারীরা এই Inheritance ব্যবহার করে Privilege Escalation করে।

২০২১ সালে Palo Alto Networks-এর Unit 42 গবেষকরা Azurescape নামে একটি Cross-Account Container Takeover দুর্বলতা প্রকাশ করেন। এটি Azure Container Instances Service-এ আবিষ্কৃত হয়েছিল। Azure Container Instances Multi-Tenant Kubernetes Cluster ব্যবহার করত, এবং দুর্বলতার মাধ্যমে একজন গ্রাহক অন্য গ্রাহকের Container Access করতে পারতেন।

আক্রমণকারী প্রথমে একটি Specially Crafted Container Deploy করে যা CRI-O Runtime-এর একটি দুর্বলতা ব্যবহার করে Container Escape অর্জন করে। তারপর Kubelet Credentials চুরি করে পুরো Cluster-এ Lateral Movement করে। সবচেয়ে বিপজ্জনক হলো, এই Cluster অন্যান্য Azure গ্রাহকদের Container Host করত, ফলে অন্য Tenant-এর Sensitive Data Access করা সম্ভব ছিল।

Microsoft দ্রুত এই দুর্বলতা প্যাচ করে এবং প্রভাবিত গ্রাহকদের তাদের Credentials Rotate করতে অনুরোধ করে। এই ঘটনা ক্লাউড নিরাপত্তায় Multi-Tenant Isolation-এর গুরুত্ব আবার সামনে এনেছিল।

বহু সংস্থা Hybrid Identity Model ব্যবহার করে যেখানে On-Premises Active Directory এবং Azure AD সিঙ্ক্রোনাইজড থাকে। Azure AD Connect এই সিঙ্ক্রোনাইজেশন পরিচালনা করে। যদি আক্রমণকারী Azure AD Connect Server compromise করতে পারে, তাহলে সে On-Premises AD-এর সমস্ত Credential Azure AD-তে রিসেট করতে পারবে, এমনকি Global Administrator-এর পাসওয়ার্ডও।

PHS বা Pass-Through Authentication ব্যবহার করার সময় Azure AD Connect Server প্রায়ই Tier 0 Asset হিসেবে চিহ্নিত হয় না, যা একটি বড় ভুল। এই Server-এ যেই MSOL Account থাকে তার DCSync Permission থাকে যা দিয়ে আক্রমণকারী Domain Controller থেকে সমস্ত User-এর Hash Dump করতে পারে।

Conditional Access হলো Azure AD-র একটি শক্তিশালী Security Feature যা নির্দিষ্ট Condition-এর ভিত্তিতে Access Allow বা Deny করে। কিন্তু Conditional Access নিজেও বিভিন্নভাবে Bypass করা যায়। Legacy Authentication Protocol যেমন POP3, IMAP, SMTP-এর মাধ্যমে অনেক সংস্থা ভুলবশত MFA Bypass করার সুযোগ রেখে দেয়।

Device Code Phishing হলো আরেকটি Advanced Technique যেখানে আক্রমণকারী Victim-কে একটি Device Code লিখতে বাধ্য করে। Victim তার নিজের Browser-এ Login করলেও Token আক্রমণকারীর কাছে চলে যায়। এই কৌশলে MFA-ও বাইপাস হয়ে যায় কারণ Victim স্বেচ্ছায় MFA অনুমোদন করছেন।

Token Theft আরেকটি বড় হুমকি। যদি আক্রমণকারী একটি Browser Session-এর Cookie বা Refresh Token চুরি করতে পারে, তাহলে সে Conditional Access-এর সমস্ত Check Bypass করে Direct Access পাবে।

Azure Escape থেকে রক্ষা পেতে Multi-Layered Defense Strategy অপরিহার্য। প্রথমে Microsoft Entra ID Privileged Identity Management সক্রিয় করুন। কোনো User-কে Permanent High Privilege Role দেবেন না। Just-In-Time Access Model ব্যবহার করুন যেখানে Approval এবং MFA-র পর সীমিত সময়ের জন্য Role Activate হয়।

Phishing-Resistant MFA বাধ্যতামূলক করুন। FIDO2 Security Key বা Windows Hello for Business ব্যবহার করুন। SMS-based MFA পরিহার করুন। Global Administrator-এর সংখ্যা ৫-এর কম রাখুন এবং প্রতিটির জন্য আলাদা Break-Glass Account রাখুন যা শুধুমাত্র জরুরি অবস্থায় ব্যবহৃত হবে।

Managed Identity-র জন্য Least Privilege নীতি কঠোরভাবে প্রয়োগ করুন। Contributor বা Owner Role পরিহার করে Custom Role তৈরি করুন যা শুধু প্রয়োজনীয় Permission দেয়। VM-এ IMDS-এর Access কঠোরভাবে সীমিত করুন এবং অপ্রয়োজনীয় Outbound Traffic Block করুন।

Conditional Access Policy সঠিকভাবে কনফিগার করুন। Legacy Authentication সম্পূর্ণ Block করুন। Risky Sign-In এবং Risky User-এর জন্য Automatic Remediation সক্রিয় করুন। Sign-In Frequency কম রাখুন এবং Persistent Browser Session নিষিদ্ধ করুন।

Microsoft Defender for Cloud সক্রিয় করুন যা Continuous Security Posture Management এবং Threat Detection প্রদান করে। Azure Sentinel-এ Log Aggregation এবং SIEM Integration নিশ্চিত করুন। অস্বাভাবিক Sign-In Pattern, Impossible Travel, এবং Mass Download Detection-এর জন্য Alert Rule সেট করুন।

Azure AD Connect Server-কে Tier 0 হিসেবে Treat করুন। এটিকে আলাদা Forest-এ Isolate করুন এবং সর্বোচ্চ Hardening প্রয়োগ করুন। Connect Server-এ Local Administrator Access কঠোরভাবে সীমিত করুন।