Microsoft ने GitHub से Microsoft एक्सचेंज में एक महत्वपूर्ण भेद्यता के संचालन के सिद्धांत को प्रदर्शित करने वाले प्रोटोटाइप शोषण के साथ कोड (कॉपी) को हटा दिया है। इस कार्रवाई से कई सुरक्षा शोधकर्ताओं में नाराजगी फैल गई, क्योंकि शोषण का प्रोटोटाइप पैच जारी होने के बाद प्रकाशित किया गया था, जो आम बात है।
GitHub नियमों में रिपॉजिटरी में सक्रिय दुर्भावनापूर्ण कोड या शोषण (यानी, उपयोगकर्ता सिस्टम पर हमला करने वाले) की नियुक्ति पर प्रतिबंध लगाने वाला एक खंड शामिल है, साथ ही हमलों के दौरान शोषण और दुर्भावनापूर्ण कोड वितरित करने के लिए एक मंच के रूप में GitHub का उपयोग भी शामिल है। लेकिन विक्रेता द्वारा पैच जारी करने के बाद हमले के तरीकों का विश्लेषण करने के लिए प्रकाशित शोधकर्ता द्वारा होस्ट किए गए कोड प्रोटोटाइप पर यह नियम पहले लागू नहीं किया गया है।
चूंकि ऐसे कोड को आमतौर पर हटाया नहीं जाता है, इसलिए GitHub की कार्रवाइयों को Microsoft द्वारा अपने उत्पाद में भेद्यता के बारे में जानकारी को अवरुद्ध करने के लिए प्रशासनिक संसाधनों का उपयोग करने के रूप में माना गया था। आलोचकों ने माइक्रोसॉफ्ट पर दोहरे मापदंड अपनाने और सुरक्षा अनुसंधान समुदाय के लिए अत्यधिक रुचि वाली सामग्री को सिर्फ इसलिए सेंसर करने का आरोप लगाया है क्योंकि यह सामग्री माइक्रोसॉफ्ट के हितों को नुकसान पहुंचाती है। Google प्रोजेक्ट ज़ीरो टीम के एक सदस्य के अनुसार, शोषण प्रोटोटाइप प्रकाशित करने का अभ्यास उचित है और लाभ जोखिम से अधिक है, क्योंकि हमलावरों के हाथों में यह जानकारी पड़े बिना अन्य विशेषज्ञों के साथ शोध परिणाम साझा करने का कोई तरीका नहीं है।
क्रिप्टोस लॉजिक के एक शोधकर्ता ने आपत्ति जताने की कोशिश करते हुए कहा कि ऐसी स्थिति में जहां नेटवर्क पर अभी भी 50 हजार से अधिक अद्यतित माइक्रोसॉफ्ट एक्सचेंज सर्वर हैं, हमलों के लिए तैयार शोषण प्रोटोटाइप का प्रकाशन संदिग्ध लगता है। कारनामों के शीघ्र प्रकाशन से होने वाला नुकसान सुरक्षा शोधकर्ताओं के लिए लाभ से अधिक हो सकता है, क्योंकि ऐसे कारनामे बड़ी संख्या में उन सर्वरों को उजागर करते हैं जिन्हें अभी तक अपडेट नहीं किया गया है।
GitHub प्रतिनिधियों ने सेवा की स्वीकार्य उपयोग नीतियों के उल्लंघन के रूप में निष्कासन पर टिप्पणी की और कहा कि वे अनुसंधान और शैक्षिक उद्देश्यों के लिए शोषण प्रोटोटाइप प्रकाशित करने के महत्व को समझते हैं, लेकिन हमलावरों के हाथों होने वाले नुकसान के खतरे को भी पहचानते हैं। इसलिए, GitHub सुरक्षा अनुसंधान समुदाय के हितों और संभावित पीड़ितों की सुरक्षा के बीच इष्टतम संतुलन खोजने का प्रयास कर रहा है। इस मामले में, हमलों को अंजाम देने के लिए उपयुक्त एक शोषण का प्रकाशन, बशर्ते कि बड़ी संख्या में ऐसे सिस्टम हों जिन्हें अभी तक अपडेट नहीं किया गया है, GitHub नियमों का उल्लंघन माना जाता है।
यह उल्लेखनीय है कि हमले जनवरी में शुरू हुए थे, फिक्स जारी होने और भेद्यता (0-दिन) की उपस्थिति के बारे में जानकारी के प्रकटीकरण से बहुत पहले। शोषण प्रोटोटाइप प्रकाशित होने से पहले, लगभग 100 हजार सर्वरों पर पहले ही हमला किया जा चुका था, जिन पर रिमोट कंट्रोल के लिए एक पिछला दरवाजा स्थापित किया गया था।
एक दूरस्थ GitHub शोषण प्रोटोटाइप ने CVE-2021-26855 (प्रॉक्सीलॉगन) भेद्यता का प्रदर्शन किया, जो प्रमाणीकरण के बिना एक मनमाने उपयोगकर्ता के डेटा को निकालने की अनुमति देता है। CVE-2021-27065 के साथ संयुक्त होने पर, भेद्यता ने व्यवस्थापक अधिकारों के साथ सर्वर पर कोड को निष्पादित करने की भी अनुमति दी।
सभी कारनामे हटाए नहीं गए हैं; उदाहरण के लिए, ग्रेऑर्डर टीम द्वारा विकसित एक अन्य कारनामे का सरलीकृत संस्करण अभी भी GitHub पर बना हुआ है। शोषण नोट में कहा गया है कि मेल सर्वर पर उपयोगकर्ताओं की गणना करने के लिए कोड में अतिरिक्त कार्यक्षमता जोड़ने के बाद मूल ग्रेऑर्डर शोषण को हटा दिया गया था, जिसका उपयोग माइक्रोसॉफ्ट एक्सचेंज का उपयोग करने वाली कंपनियों पर बड़े पैमाने पर हमले करने के लिए किया जा सकता था।
स्रोत: opennet.ru