Microsoft, Microsoft Exchange-də kritik bir boşluğun işləməsini göstərən istismar prototipinin surətini GitHub-dan sildi. Bu hərəkət bir çox təhlükəsizlik tədqiqatçısını qəzəbləndirdi, çünki istismar prototipi yamaq buraxıldıqdan sonra dərc edildi ki, bu da geniş yayılmış bir təcrübədir.
GitHub qaydaları aktiv zərərli kodun və ya istismarların (yəni istifadəçilərin sistemlərinə hücum edənlərin) depolarda yerləşdirilməsini, eləcə də hücumlar zamanı istismar və zərərli proqram təminatının çatdırılması üçün platforma kimi GitHub-dan istifadəni qadağan edir. Lakin, bu qayda əvvəllər satıcı yamaq buraxdıqdan sonra tədqiqatçılar tərəfindən hücum metodlarının təhlili üçün yerləşdirilən kod prototiplərinə tətbiq edilməmişdir.
Bu cür kod adətən silinmədiyindən, GitHub-un hərəkətləri Microsoft-un məhsulundakı zəiflik haqqında məlumatları bloklamaq üçün inzibati resurslardan istifadə etməsi kimi qəbul edildi. Tənqidçilər Microsoft-u ikili standartlarda və təhlükəsizlik tədqiqat icması üçün böyük maraq doğuran məzmunu senzura etməkdə günahlandırdılar, çünki bu, sadəcə Microsoft-un maraqlarına zərər verir. Google Project Zero komandasının üzvü hesab edir ki, istismar prototiplərinin dərc edilməsi haqlıdır və faydaları risklərdən daha çoxdur, çünki bu məlumat hücum edənlərin əlinə keçmədən tədqiqat nəticələrini digər tədqiqatçılarla paylaşmağın yolu yoxdur.
Kryptos Logic-dən bir tədqiqatçı etiraz etməyə çalışaraq, şəbəkədə hələ də 50 mindən çox yenilənməmişin olduğu bir vəziyyətdə olduğunu qeyd etdi. serverlər Microsoft Exchange-in hücuma hazır eksploit prototiplərinin dərc edilməsi şübhəli görünür. Erkən eksploit buraxılışının zərəri təhlükəsizlik tədqiqatçıları üçün faydasından daha çoxdur, çünki bu cür eksploitlər hələ yenilənməmiş çox sayda serveri ifşa edir.
GitHub nümayəndələri silinməni Məqbul İstifadə Siyasətlərinin pozulması kimi şərh etdilər və tədqiqat və təhsil məqsədləri üçün eksploit prototiplərinin dərc edilməsinin vacibliyini başa düşdüklərini, eyni zamanda hücum edənlərin əlində yarada biləcəkləri zərər təhlükəsini dərk etdiklərini bildirdilər. Buna görə də, GitHub təhlükəsizlik tədqiqat icmasının maraqları ilə potensial qurbanların qorunması arasında optimal balans tapmağa çalışır. Bu halda, çox sayda yamaqlanmamış sistemin iştirakı ilə hücumlar həyata keçirə bilən eksploitin dərc edilməsi GitHub siyasətlərinin pozulması hesab olunur.
Maraqlıdır ki, hücumlar yanvar ayında, yamanın buraxılmasından və sıfır günlük zəiflik açıqlanmadan çox əvvəl başlamışdı. Eksploit prototipi dərc olunmazdan əvvəl təxminən 100.000 serverə hücum edilmişdi və uzaqdan idarəetmə üçün arxa qapı quraşdırılmışdı.
GitHub-dan silinən prototip eksploiti, identifikasiya olmadan ixtiyari istifadəçi məlumatlarının çıxarılmasına imkan verən CVE-2021-26855 (ProxyLogon) boşluğunu nümayiş etdirdi. CVE-2021-27065 ilə birləşdirildikdə, boşluq kodun icrasına da imkan verdi. server administrator hüquqları ilə.
Bütün istismarlar silinməyib; məsələn, GreyOrder komandası tərəfindən hazırlanmış başqa bir istismarın sadələşdirilmiş versiyası GitHub-da qalır. İstismarın qeydləri göstərir ki, orijinal GreyOrder istismarı, poçt serverində istifadəçi siyahılarını kobud şəkildə məcbur edən koda əlavə funksionallıq əlavə edildikdən sonra silinib və bu funksiya Microsoft Exchange istifadə edən şirkətlərə kütləvi hücumlar etmək üçün istifadə edilə bilərdi.
Mənbə: opennet.ru
