ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > የማይክሮሶፍት ልውውጥን ከ GitHub የፕሮቶታይፕ ብዝበዛ ከተወገደ በኋላ የማይክሮሶፍት ትችት።

የማይክሮሶፍት ልውውጥን ከ GitHub የፕሮቶታይፕ ብዝበዛ ከተወገደ በኋላ የማይክሮሶፍት ትችት።

ማይክሮሶፍት በማይክሮሶፍት ልውውጥ ውስጥ ወሳኝ የተጋላጭነት መርህን በሚያሳይ ፕሮቶታይፕ ብዝበዛ ከ GitHub አስወግዷል። ይህ ድርጊት በብዙ የደህንነት ተመራማሪዎች ዘንድ ቁጣን ፈጥሮ ነበር፣ ምክንያቱም የብዝበዛው ምሳሌ የታተመው ፕላስተር ከተለቀቀ በኋላ ነው፣ ይህም የተለመደ አሰራር ነው።

የ GitHub ደንቦች ገባሪ ተንኮል-አዘል ኮድ ወይም ብዝበዛዎች (ማለትም የተጠቃሚ ስርዓቶችን የሚያጠቁ) በማከማቻዎች ውስጥ ማስቀመጥን የሚከለክል አንቀጽ እና እንዲሁም GitHub በጥቃቶች ወቅት ጥቅማ ጥቅሞችን እና ተንኮል-አዘል ኮድን እንደ መድረክ መጠቀምን የሚከለክል አንቀጽ ይዟል። ነገር ግን ይህ ህግ ቀደም ሲል አንድ ሻጭ ፕላስተር ከለቀቀ በኋላ የጥቃት ዘዴዎችን ለመተንተን በሚታተሙ በተመራማሪዎች የተስተናገዱ የኮድ ፕሮቶታይፖች ላይ አልተተገበረም።

እንዲህ ዓይነቱ ኮድ ብዙውን ጊዜ ስለማይወገድ የGitHub ድርጊቶች ማይክሮሶፍት በምርቱ ውስጥ ስላለው ተጋላጭነት መረጃን ለማገድ አስተዳደራዊ ሀብቶችን እንደሚጠቀም ተስተውሏል። ተቺዎች ማይክሮሶፍት ድርብ ደረጃዎችን እና ሳንሱርን ለደህንነት ምርምር ማህበረሰቡ ከፍተኛ ፍላጎት ያለው ይዘቱ የማይክሮሶፍትን ጥቅም ስለሚጎዳ ብቻ ነው ሲሉ ከሰዋል። የጎግል ፕሮጄክት ዜሮ ቡድን አባል እንደገለጸው ይህ መረጃ በአጥቂዎች እጅ ውስጥ ካልገባ በስተቀር የጥናት ውጤቶችን ለሌሎች ስፔሻሊስቶች ለማካፈል ምንም መንገድ ስለሌለ የብዝበዛ ፕሮቶታይፖችን የማተም ልምዱ ትክክለኛ እና ጥቅሙ ከአደጋው ይበልጣል።

የ Kryptos Logic ተመራማሪ ለመቃወም ሞክረዋል, አሁንም በኔትወርኩ ላይ ከ 50 ሺህ በላይ ያልተዘመኑ የማይክሮሶፍት ልውውጥ አገልጋዮች ባሉበት ሁኔታ ለጥቃቶች ዝግጁ የሆኑ የብዝበዛ ፕሮቶታይፖች መታተም አጠራጣሪ ይመስላል ። የብዝበዛ ህትመቶች ጉዳቱ ለደህንነት ተመራማሪዎች ከጥቅሙ ይልቃል፣ ምክንያቱም እንዲህ አይነት ብዝበዛ ገና ያልተዘመኑ በርካታ አገልጋዮችን ስለሚያጋልጥ ነው።

የ GitHub ተወካዮች መወገድን በተመለከተ የአገልግሎቱን ተቀባይነት ያለው የአጠቃቀም ፖሊሲዎች መጣስ ሲሉ አስተያየታቸውን የሰጡ ሲሆን የብዝበዛ ፕሮቶታይፖችን ለምርምር እና ለትምህርታዊ ዓላማዎች ማተም ያለውን ጠቀሜታ እንደሚረዱ ነገር ግን በአጥቂዎች እጅ ሊያደርሱ የሚችሉትን የጉዳት አደጋ እንደሚገነዘቡ ገልጸዋል። ስለዚህ, GitHub በደህንነት ምርምር ማህበረሰብ ፍላጎቶች እና ተጠቂዎች ጥበቃ መካከል ያለውን ጥሩ ሚዛን ለማግኘት እየሞከረ ነው. በዚህ አጋጣሚ ጥቃትን ለመፈጸም ተስማሚ የሆነ ብዝበዛን ማተም፣ ገና ያልተዘመኑ ብዙ ስርዓቶች ካሉ የ GitHub ደንቦችን እንደጣሰ ይቆጠራል።

ጥቃቶቹ በጃንዋሪ ውስጥ መጀመራቸው ትኩረት የሚስብ ነው, ጥገናው ከመውጣቱ እና ስለ ተጋላጭነቱ (0-ቀን) መኖሩን በተመለከተ መረጃን ይፋ ከማድረግ ከረጅም ጊዜ በፊት. የብዝበዛው ፕሮቶታይፕ ከመታተሙ በፊት 100 ሺህ የሚጠጉ ሰርቨሮች ቀድሞውንም ጥቃት ደርሶባቸዋል፣ በዚህ ላይ የርቀት መቆጣጠሪያ የጀርባ በር ተጭኗል።

የርቀት GitHub የብዝበዛ ፕሮቶታይፕ የCVE-2021-26855 (ProxyLogon) ተጋላጭነትን አሳይቷል፣ ይህም የዘፈቀደ ተጠቃሚ ውሂብን ያለማረጋገጫ ለማውጣት ያስችላል። ከCVE-2021-27065 ጋር ሲጣመር፣ ተጋላጭነቱ እንዲሁ ኮድ በአገልጋዩ ላይ ከአስተዳዳሪ መብቶች ጋር እንዲተገበር አስችሎታል።

ሁሉም ብዝበዛዎች አልተወገዱም፣ ለምሳሌ፣ በGreyOrder ቡድን የተሰራው ቀለል ያለ የሌላ ብዝበዛ ስሪት አሁንም በ GitHub ላይ አለ። የብዝበዛ ማስታወሻው ማይክሮሶፍት ልውውጥን በሚጠቀሙ ኩባንያዎች ላይ የጅምላ ጥቃቶችን ለመፈጸም የሚያገለግል በደብዳቤ አገልጋዩ ላይ ተጠቃሚዎችን ለመቁጠር ተጨማሪ ተግባር በኮዱ ላይ ከተጨመረ በኋላ ዋናው የGreyOrder ብዝበዛ መወገዱን ይገልጻል።

ምንጭ: opennet.ru

አስተያየት ያክሉ