Microsoft-ek GitHub-etik kendu du kodea (kopia) Microsoft Exchange-n ahultasun kritiko baten funtzionamendu-printzipioa erakusten duen prototipo-explotazio batekin. Ekintza honek haserrea eragin zuen segurtasun ikertzaile askoren artean, ustiapenaren prototipoa adabakia kaleratu ostean argitaratu baitzen, eta hori ohikoa da.
GitHub-en arauek biltegietan kode aktiboak edo ustiapenak (hau da, erabiltzaile-sistemak erasotzen dituztenak) kokatzea debekatzen duen klausula bat dute, baita GitHub-en erabilera erasoetan aprobetxamenduak eta kode gaiztoak emateko plataforma gisa erabiltzea ere. Baina arau hau ez da aurrez ikertzaileek ostatatutako kode-prototipoei aplikatu saltzaile batek adabaki bat askatu ondoren eraso-metodoak aztertzeko argitaratutakoak.
Kode hori normalean kentzen ez denez, GitHub-en ekintzak Microsoft-ek administrazio-baliabideak erabiltzen zituela bere produktuaren ahultasunari buruzko informazioa blokeatzeko moduan ikusten zen. Kritikariek estandar bikoitzak leporatu dizkiote Microsofti eta segurtasun-ikertzaileen komunitatearentzat interes handiko edukia zentsuratzea, edukiak Microsoft-en interesei kalte egiten dielako. Google Project Zero taldeko kide baten arabera, ustiapen-prototipoak argitaratzeko praktika justifikatuta dago eta onurak arriskua baino handiagoa du, ez baitago ikerketaren emaitzak beste espezialistekin partekatzeko modurik informazio hori erasotzaileen eskuetan erori gabe.
Kryptos Logic-eko ikertzaile bat aurka egiten saiatu zen, eta adierazi zuen sarean oraindik eguneratu gabeko 50 mila zerbitzari baino gehiago dauden Microsoft Exchange zerbitzariak, erasoetarako prest dauden ustiapen-prototipoak argitaratzea zalantzazkoa dela. Ustiategien argitalpen goiztiarrak sor ditzakeen kalteak segurtasun ikertzaileentzako onura baino handiagoa da, horrelako ustiapenek oraindik eguneratu gabeko zerbitzari kopuru handia agerian uzten baitute.
GitHub-eko ordezkariek kentzea zerbitzuaren Erabilera Onargarrien Politikak urratzen direla adierazi dute eta adierazi dute ulertzen dutela ustiapen-prototipoak ikerketa eta hezkuntza helburuetarako argitaratzearen garrantzia, baina erasotzaileen eskuetan sor ditzaketen kalteen arriskua ere onartzen dutela. Hori dela eta, GitHub segurtasun ikerketa komunitatearen interesen eta balizko biktimen babesaren arteko oreka egokiena bilatzen saiatzen ari da. Kasu honetan, erasoak egiteko egokia den ustiatu bat argitaratzeak, baldin eta oraindik eguneratu gabe dauden sistema ugari badaude, GitHub-en arauak urratzen ditu.
Azpimarratzekoa da erasoak urtarrilean hasi zirela, konponketa kaleratu baino askoz lehenago eta ahultasunaren presentziari buruzko informazioa (0 egunekoa). Explotazio-prototipoa argitaratu baino lehen, 100 mila zerbitzari inguru erasotu ziren jada, eta horietan urrutiko kontrolerako atzeko atea instalatu zen.
Urruneko GitHub ustiapen-prototipo batek CVE-2021-26855 (ProxyLogon) ahultasuna frogatu zuen, erabiltzaile arbitrario baten datuak autentifikaziorik gabe ateratzeko aukera ematen duena. CVE-2021-27065-rekin konbinatuta, ahultasunak administratzaile-eskubideak dituen zerbitzarian kodea exekutatzea ere ahalbidetu zuen.
Uste guztiak ez dira kendu; adibidez, GreyOrder taldeak garatutako beste ustiapen baten bertsio sinplifikatu bat GitHub-en jarraitzen du. Explotazio-oharrak dio GreyOrder-en jatorrizko ustiapena kendu egin zela kodeari funtzionalitate gehigarriak gehitu ondoren posta-zerbitzariko erabiltzaileak zenbatzeko, Microsoft Exchange erabiltzen duten enpresei eraso masiboak egiteko erabil zitekeela.
Iturria: opennet.ru