Ua wehe ʻo Microsoft mai GitHub i ke code (kope) me kahi prototype exploit e hōʻike ana i ke kumu o ka hana ʻana o kahi nāwaliwali koʻikoʻi ma Microsoft Exchange. Ua hoʻonāukiuki kēia hana i nā mea noiʻi palekana he nui, ʻoiai ua paʻi ʻia ka prototype o ka hoʻohana ma hope o ka hoʻokuʻu ʻia ʻana o ka patch, kahi hana maʻamau.
Aia i loko o nā lula GitHub kahi paukū e pāpā ana i ka hoʻokomo ʻana i nā code malicious ikaika a i ʻole nā mea hoʻohana (ʻo ia hoʻi, kēlā mau ʻōnaehana mea hoʻohana) i loko o nā waihona, a me ka hoʻohana ʻana iā GitHub ma ke ʻano he kahua no ka hoʻopuka ʻana i nā mea hoʻohana a me nā code ʻino i ka wā o ka hoʻouka ʻana. Akā ʻaʻole i hoʻohana mua ʻia kēia lula i nā prototypes code i hoʻokipa ʻia e ka mea noiʻi i paʻi ʻia e nānā i nā ʻano hoʻouka kaua ma hope o ka hoʻokuʻu ʻana o kahi mea kūʻai aku i kahi pā.
No ka mea ʻaʻole i wehe ʻia kēlā code, ua ʻike ʻia nā hana a GitHub e like me ka hoʻohana ʻana o Microsoft i nā kumuwaiwai hoʻokele e pale i ka ʻike e pili ana i ka nāwaliwali o kāna huahana. Ua hoʻopiʻi ka poʻe hoʻohewa iā Microsoft i nā kūlana pālua a me ka hoʻopaʻa ʻana i nā ʻike i makemake nui ʻia i ke kaiāulu noiʻi palekana ma muli wale nō o ka hoʻopōʻino ʻana i ka makemake o Microsoft. Wahi a kekahi lālā o ka hui Google Project Zero, ua kūpono ka hana o ka hoʻopuka ʻana i nā prototypes exploit a ʻoi aku ka pōmaikaʻi ma mua o ka pilikia, ʻoiai ʻaʻohe ala e kaʻana like i nā hopena noiʻi me nā loea ʻē aʻe me ka hāʻule ʻole o kēia ʻike i ka lima o nā mea hoʻouka.
Ua ho'āʻo kekahi mea noiʻi mai Kryptos Logic e kūʻē, e kuhikuhi ana i kahi kūlana i ʻoi aku ma mua o 50 tausani mau kikowaena Microsoft Exchange unupdated ma ka pūnaewele, ʻo ka paʻi ʻana o nā prototypes hoʻohana i mākaukau no ka hoʻouka ʻana he kānalua. ʻOi aku ka pōʻino o ka hoʻolaha mua ʻana o nā mea hoʻohana ma mua o ka pōmaikaʻi no nā mea noiʻi palekana, ʻoiai ʻo ia mau hana e hōʻike ana i ka nui o nā kikowaena ʻaʻole i hōʻano hou ʻia.
Ua ʻōlelo nā ʻelele o GitHub i ka lawe ʻia ʻana ma ke ʻano he uhaki i nā kulekele hoʻohana ʻae ʻia a ua ʻōlelo lākou ua maopopo lākou i ke koʻikoʻi o ka paʻi ʻana i nā prototypes hoʻohana no ka noiʻi a me nā kumu hoʻonaʻauao, akā ʻike pū kekahi i ka pōʻino o ka pōʻino i hiki iā lākou ke hana i ka lima o ka poʻe hoʻouka. No laila, ke hoʻāʻo nei ʻo GitHub e ʻimi i ke kaulike maikaʻi loa ma waena o nā pono o ke kaiāulu noiʻi palekana a me ka pale ʻana i nā mea i hōʻeha ʻia. I kēia hihia, ʻo ka hoʻolaha ʻana i kahi hoʻohana kūpono no ka hoʻokō ʻana i nā hoʻouka kaua, inā aia ka nui o nā ʻōnaehana ʻaʻole i hōʻano hou ʻia, ua manaʻo ʻia e uhaki i nā lula GitHub.
He mea kūpono ia ua hoʻomaka ka hoʻouka ʻana i Ianuali, ma mua o ka hoʻokuʻu ʻana i ka hoʻoponopono a me ka hōʻike ʻana i ka ʻike e pili ana i ka hiki ʻana o ka nāwaliwali (0-lā). Ma mua o ka paʻi ʻia ʻana o ka prototype exploit, ua hoʻouka ʻia ma kahi o 100 tausani mau kikowaena, kahi i hoʻokomo ʻia ai kahi backdoor no ka mana mamao.
Ua hōʻike ʻia kahi prototype hoʻohana mamao ʻo GitHub i ka nāwaliwali o CVE-2021-26855 (ProxyLogon), kahi e ʻae ai i ka ʻikepili o kahi mea hoʻohana ʻole e lawe ʻia me ka ʻole o ka hōʻoia. Ke hui pū ʻia me CVE-2021-27065, ua ʻae ʻia ka vulnerability i ke code e hoʻokō ʻia ma ka kikowaena me nā kuleana luna.
ʻAʻole i hoʻoneʻe ʻia nā hana a pau; no ka laʻana, ʻo kahi ʻano maʻalahi o kahi hana ʻē aʻe i hoʻomohala ʻia e ka hui GreyOrder e mau ana ma GitHub. Hōʻike ka manaʻo hoʻohana i ka wehe ʻia ʻana o ka GreyOrder exploit ma hope o ka hoʻohui ʻia ʻana o nā hana hou i ke code e helu ai i nā mea hoʻohana ma ka kikowaena leka, hiki ke hoʻohana ʻia no ka hoʻokō ʻana i nā hoʻouka lehulehu i nā hui e hoʻohana ana iā Microsoft Exchange.
Source: opennet.ru