ProHoster > ጦማር > የኢንተርኔት ዜና > የማይክሮሶፍት ልውውጥን ከ GitHub የፕሮቶታይፕ ብዝበዛ ከተወገደ በኋላ የማይክሮሶፍት ትችት።

የማይክሮሶፍት ልውውጥን ከ GitHub የፕሮቶታይፕ ብዝበዛ ከተወገደ በኋላ የማይክሮሶፍት ትችት።

ማይክሮሶፍት በማይክሮሶፍት ልውውጥ ውስጥ ወሳኝ የተጋላጭነት መርህን በሚያሳይ ፕሮቶታይፕ ብዝበዛ ከ GitHub አስወግዷል። ይህ ድርጊት በብዙ የደህንነት ተመራማሪዎች ዘንድ ቁጣን ፈጥሮ ነበር፣ ምክንያቱም የብዝበዛው ምሳሌ የታተመው ፕላስተር ከተለቀቀ በኋላ ነው፣ ይህም የተለመደ አሰራር ነው።

የ GitHub ደንቦች ገባሪ ተንኮል-አዘል ኮድ ወይም ብዝበዛዎች (ማለትም የተጠቃሚ ስርዓቶችን የሚያጠቁ) በማከማቻዎች ውስጥ ማስቀመጥን የሚከለክል አንቀጽ እና እንዲሁም GitHub በጥቃቶች ወቅት ጥቅማ ጥቅሞችን እና ተንኮል-አዘል ኮድን እንደ መድረክ መጠቀምን የሚከለክል አንቀጽ ይዟል። ነገር ግን ይህ ህግ ቀደም ሲል አንድ ሻጭ ፕላስተር ከለቀቀ በኋላ የጥቃት ዘዴዎችን ለመተንተን በሚታተሙ በተመራማሪዎች የተስተናገዱ የኮድ ፕሮቶታይፖች ላይ አልተተገበረም።

እንዲህ ዓይነቱ ኮድ ብዙውን ጊዜ ስለማይወገድ የGitHub ድርጊቶች ማይክሮሶፍት በምርቱ ውስጥ ስላለው ተጋላጭነት መረጃን ለማገድ አስተዳደራዊ ሀብቶችን እንደሚጠቀም ተስተውሏል። ተቺዎች ማይክሮሶፍት ድርብ ደረጃዎችን እና ሳንሱርን ለደህንነት ምርምር ማህበረሰቡ ከፍተኛ ፍላጎት ያለው ይዘቱ የማይክሮሶፍትን ጥቅም ስለሚጎዳ ብቻ ነው ሲሉ ከሰዋል። የጎግል ፕሮጄክት ዜሮ ቡድን አባል እንደገለጸው ይህ መረጃ በአጥቂዎች እጅ ውስጥ ካልገባ በስተቀር የጥናት ውጤቶችን ለሌሎች ስፔሻሊስቶች ለማካፈል ምንም መንገድ ስለሌለ የብዝበዛ ፕሮቶታይፖችን የማተም ልምዱ ትክክለኛ እና ጥቅሙ ከአደጋው ይበልጣል።

ከክሪፕቶስ ሎጂክ የመጣ አንድ ተመራማሪ በኔትወርኩ ላይ ከ50 ሺህ በላይ ያልተዘመኑ ሰዎች ባሉበት ሁኔታ ላይ ለመቃወም ሞክሯል ሲል ጠቁሟል። አገልጋዮች የማይክሮሶፍት ኤክስቼንጅ የጥቃት ዝግጁ የሆኑ የፍሉዌንዛ ፕሮቶታይፖችን ማሳተም አጠራጣሪ ይመስላል። ቀደም ብሎ የፍሉዌንዛ ልቀቱ ሊያስከትል የሚችለው ጉዳት ለደህንነት ተመራማሪዎች ከሚያስገኘው ጥቅም ይበልጣል፣ ምክንያቱም እንዲህ ያሉት ብዝበዛዎች እስካሁን ያልተዘመኑ በርካታ አገልጋዮችን ስለሚያጋልጡ።

የ GitHub ተወካዮች መወገድን በተመለከተ የአገልግሎቱን ተቀባይነት ያለው የአጠቃቀም ፖሊሲዎች መጣስ ሲሉ አስተያየታቸውን የሰጡ ሲሆን የብዝበዛ ፕሮቶታይፖችን ለምርምር እና ለትምህርታዊ ዓላማዎች ማተም ያለውን ጠቀሜታ እንደሚረዱ ነገር ግን በአጥቂዎች እጅ ሊያደርሱ የሚችሉትን የጉዳት አደጋ እንደሚገነዘቡ ገልጸዋል። ስለዚህ, GitHub በደህንነት ምርምር ማህበረሰብ ፍላጎቶች እና ተጠቂዎች ጥበቃ መካከል ያለውን ጥሩ ሚዛን ለማግኘት እየሞከረ ነው. በዚህ አጋጣሚ ጥቃትን ለመፈጸም ተስማሚ የሆነ ብዝበዛን ማተም፣ ገና ያልተዘመኑ ብዙ ስርዓቶች ካሉ የ GitHub ደንቦችን እንደጣሰ ይቆጠራል።

ጥቃቶቹ በጃንዋሪ ውስጥ መጀመራቸው ትኩረት የሚስብ ነው, ጥገናው ከመውጣቱ እና ስለ ተጋላጭነቱ (0-ቀን) መኖሩን በተመለከተ መረጃን ይፋ ከማድረግ ከረጅም ጊዜ በፊት. የብዝበዛው ፕሮቶታይፕ ከመታተሙ በፊት 100 ሺህ የሚጠጉ ሰርቨሮች ቀድሞውንም ጥቃት ደርሶባቸዋል፣ በዚህ ላይ የርቀት መቆጣጠሪያ የጀርባ በር ተጭኗል።

ከጂትሁብ የተወገደ የፕሮቶታይፕ ብዝበዛ ተጋላጭነትን አሳይቷል CVE-2021-26855 (ProxyLogon)፣ ይህም ያለ ማረጋገጫ የዘፈቀደ የተጠቃሚ ውሂብ ማውጣት ያስችላል። ከCVE-2021-27065 ጋር ሲጣመር፣ ተጋላጭነቱ የኮድ አፈፃፀምንም አስችሏል። አገልጋይ ከአስተዳዳሪ መብቶች ጋር.

ሁሉም ብዝበዛዎች አልተወገዱም፣ ለምሳሌ፣ በGreyOrder ቡድን የተሰራው ቀለል ያለ የሌላ ብዝበዛ ስሪት አሁንም በ GitHub ላይ አለ። የብዝበዛ ማስታወሻው ማይክሮሶፍት ልውውጥን በሚጠቀሙ ኩባንያዎች ላይ የጅምላ ጥቃቶችን ለመፈጸም የሚያገለግል በደብዳቤ አገልጋዩ ላይ ተጠቃሚዎችን ለመቁጠር ተጨማሪ ተግባር በኮዱ ላይ ከተጨመረ በኋላ ዋናው የGreyOrder ብዝበዛ መወገዱን ይገልጻል።

ምንጭ: opennet.ru

በDDoS ጥበቃ፣ VPS VDS አገልጋዮች ለጣቢያዎች አስተማማኝ ማስተናገጃ ይግዙ 🔥 አስተማማኝ የድር ጣቢያ ማስተናገጃ በዲዶኤስ ጥበቃ፣ በቪፒኤስ ቪዲኤስ አገልጋዮች ይግዙ | ProHoster