Microsoft GitHub-dan Microsoft Exchange-də kritik zəifliyin işləmə prinsipini nümayiş etdirən prototip istismara malik kodu (surəti) çıxarıb. Bu hərəkət bir çox təhlükəsizlik tədqiqatçılarının qəzəbinə səbəb oldu, çünki istismarın prototipi adi təcrübə olan patch buraxıldıqdan sonra nəşr olundu.
GitHub qaydaları aktiv zərərli kodun və ya istismarların (yəni, istifadəçi sistemlərinə hücum edənlər) anbarlarda yerləşdirilməsini, habelə hücumlar zamanı istismar və zərərli kodun çatdırılması üçün platforma kimi GitHub-dan istifadəni qadağan edən bənddən ibarətdir. Lakin bu qayda əvvəllər satıcı patch buraxdıqdan sonra hücum üsullarını təhlil etmək üçün nəşr olunan tədqiqatçı tərəfindən yerləşdirilən kod prototiplərinə tətbiq edilməyib.
Belə kod adətən silinmədiyi üçün GitHub-ın hərəkətləri Microsoft-un məhsulundakı boşluq haqqında məlumatı bloklamaq üçün inzibati resurslardan istifadə etməsi kimi qəbul edilirdi. Tənqidçilər Microsoft-u ikili standartlarda və təhlükəsizlik tədqiqatları ictimaiyyətinin yüksək marağına səbəb olan məzmuna senzura tətbiq etməkdə ittiham edirlər, çünki məzmun Microsoft-un maraqlarına zərər verir. Google Project Zero komandasının üzvünün fikrincə, istismar prototiplərinin dərc edilməsi təcrübəsi haqlıdır və fayda riskdən üstündür, çünki bu məlumat təcavüzkarların əlinə keçmədən tədqiqat nəticələrini digər mütəxəssislərlə bölüşmək mümkün deyil.
Kryptos Logic-dən bir tədqiqatçı etiraz etməyə çalışaraq, şəbəkədə hələ də 50 mindən çox yenilənməmiş Microsoft Exchange serverinin olduğu bir vəziyyətdə, hücumlara hazır olan istismar prototiplərinin nəşrinin şübhəli göründüyünə işarə etdi. İstismarların erkən dərc edilməsinin gətirə biləcəyi zərər təhlükəsizlik tədqiqatçıları üçün faydadan üstündür, çünki belə istismarlar hələ yenilənməmiş çoxlu sayda serverləri ifşa edir.
GitHub nümayəndələri silinməni xidmətin Məqbul İstifadə Siyasətlərinin pozulması kimi şərh etdilər və tədqiqat və təhsil məqsədləri üçün istismar prototiplərinin dərc edilməsinin vacibliyini başa düşdüklərini, eyni zamanda onların təcavüzkarların əlində vura biləcəyi zərər təhlükəsini dərk etdiklərini bildirdilər. Buna görə də GitHub təhlükəsizlik tədqiqat cəmiyyətinin maraqları ilə potensial qurbanların müdafiəsi arasında optimal tarazlığı tapmağa çalışır. Bu halda, hələ də yenilənməmiş çoxlu sayda sistem olması şərti ilə hücumların həyata keçirilməsi üçün uyğun eksploytın dərci GitHub qaydalarını pozmaq hesab edilir.
Diqqətəlayiqdir ki, hücumlar aradan qaldırılmadan və zəifliyin olması barədə məlumatların açıqlanmasından xeyli əvvəl (0-gün) yanvar ayında başlayıb. İstismar prototipi dərc edilməzdən əvvəl, uzaqdan idarəetmə üçün arxa qapı quraşdırılmış 100 minə yaxın server artıq hücuma məruz qalmışdı.
Uzaqdan GitHub istismar prototipi ixtiyari istifadəçinin məlumatlarının autentifikasiya olmadan çıxarılmasına imkan verən CVE-2021-26855 (ProxyLogon) zəifliyini nümayiş etdirdi. CVE-2021-27065 ilə birləşdirildikdə, zəiflik həmçinin kodun administrator hüquqları ilə serverdə icrasına imkan verir.
Bütün istismarlar silinməyib; məsələn, GreyOrder komandası tərəfindən hazırlanmış başqa bir istismarın sadələşdirilmiş versiyası hələ də GitHub-da qalır. İstismar qeydində qeyd edilir ki, poçt serverində istifadəçiləri sadalamaq üçün koda əlavə funksionallıq əlavə edildikdən sonra orijinal GreyOrder istismarı silinib və bu, Microsoft Exchange-dən istifadə edən şirkətlərə kütləvi hücumlar həyata keçirmək üçün istifadə oluna bilər.
Mənbə: opennet.ru