Microsoft-ը GitHub-ից հանել է կոդը (պատճենը) նախատիպով, որը ցույց է տալիս Microsoft Exchange-ում կրիտիկական խոցելիության սկզբունքը: Այս գործողությունը վրդովմունք է առաջացրել անվտանգության բազմաթիվ հետազոտողների շրջանում, քանի որ շահագործման նախատիպը հրապարակվել է կարկատան թողարկումից հետո, ինչը սովորական պրակտիկա է։
GitHub-ի կանոնները պարունակում են կետ, որն արգելում է ակտիվ վնասակար կոդի կամ շահագործումների (այսինքն՝ օգտագործողների համակարգերի վրա հարձակվողների) տեղադրումը պահեստներում, ինչպես նաև GitHub-ի օգտագործումը որպես հարձակման ժամանակ շահագործում և վնասակար կոդ տրամադրելու հարթակ: Բայց այս կանոնը նախկինում չի կիրառվել հետազոտողի կողմից տեղակայված ծածկագրի նախատիպերի վրա, որոնք հրապարակվել են հարձակման մեթոդները վերլուծելու համար, երբ վաճառողը թողարկում է կարկատել:
Քանի որ նման ծածկագիրը սովորաբար չի հանվում, GitHub-ի գործողությունները ընկալվում էին որպես Microsoft-ի ադմինիստրատիվ ռեսուրսների օգտագործում՝ արգելափակելու իր արտադրանքի խոցելիության մասին տեղեկատվությունը: Քննադատները Microsoft-ին մեղադրում են երկակի ստանդարտների և անվտանգության հետազոտական հանրության համար բարձր հետաքրքրություն ներկայացնող բովանդակությունը գրաքննության մեջ, պարզապես այն պատճառով, որ բովանդակությունը վնասում է Microsoft-ի շահերին: Ըստ Google Project Zero թիմի անդամի, exploit-ի նախատիպեր հրապարակելու պրակտիկան արդարացված է, և օգուտը գերազանցում է ռիսկը, քանի որ հնարավոր չէ հետազոտության արդյունքները կիսել այլ մասնագետների հետ՝ առանց այդ տեղեկատվությունը գրոհողների ձեռքն ընկնելու:
Kryptos Logic-ի մի հետազոտող փորձեց առարկել՝ նշելով, որ այն իրավիճակում, երբ ցանցում դեռևս 50 հազարից ավելի չթարմացված Microsoft Exchange սերվերներ կան, հարձակումների համար պատրաստ շահագործման նախատիպերի հրապարակումը կասկածելի է թվում: Վնասը, որ կարող է առաջացնել վաղ հրապարակումները, գերազանցում է օգուտը անվտանգության հետազոտողների համար, քանի որ նման շահագործումները բացահայտում են մեծ թվով սերվերներ, որոնք դեռևս չեն թարմացվել:
GitHub-ի ներկայացուցիչները մեկնաբանեցին հեռացումը որպես ծառայության ընդունելի օգտագործման քաղաքականության խախտում և նշեցին, որ իրենք հասկանում են հետազոտական և կրթական նպատակների համար շահագործման նախատիպերի հրապարակման կարևորությունը, բայց նաև գիտակցում են վնասի վտանգը, որը դրանք կարող են պատճառել հարձակվողների ձեռքում: Ուստի GitHub-ը փորձում է օպտիմալ հավասարակշռություն գտնել անվտանգության հետազոտական համայնքի շահերի և պոտենցիալ զոհերի պաշտպանության միջև։ Այս դեպքում գրոհներ իրականացնելու համար հարմար շահագործման հրապարակումը, պայմանով, որ կան մեծ թվով համակարգեր, որոնք դեռ չեն թարմացվել, համարվում է GitHub-ի կանոնների խախտում։
Հատկանշական է, որ հարձակումները սկսվել են հունվարին՝ խոցելիության առկայության մասին տեղեկատվության ֆիքսման և հրապարակումից շատ առաջ (0 օր): Մինչ exploit-ի նախատիպի հրապարակումը, արդեն հարձակվել էին մոտ 100 հազար սերվերներ, որոնց վրա տեղադրվել էր հեռակառավարման համար նախատեսված հետնադուռ։
Հեռավոր GitHub-ի շահագործման նախատիպը ցուցադրեց CVE-2021-26855 (ProxyLogon) խոցելիությունը, որը թույլ է տալիս կամայական օգտագործողի տվյալները արդյունահանվել առանց նույնականացման: Երբ համակցվում է CVE-2021-27065-ի հետ, խոցելիությունը նաև թույլ է տալիս ադմինիստրատորի իրավունքներով ծածկագիրը գործարկել սերվերի վրա:
Ոչ բոլոր շահագործումներն են հեռացվել, օրինակ՝ GreyOrder թիմի կողմից մշակված մեկ այլ շահագործման պարզեցված տարբերակը դեռ մնում է GitHub-ում: Exploit note-ում նշվում է, որ սկզբնական GreyOrder-ի շահագործումը հեռացվել է այն բանից հետո, երբ կոդի մեջ ավելացվել է լրացուցիչ գործառույթ՝ փոստի սերվերում օգտվողներին թվարկելու համար, որը կարող է օգտագործվել Microsoft Exchange-ն օգտագործող ընկերությունների վրա զանգվածային հարձակումներ իրականացնելու համար:
Source: opennet.ru