Microsoft корпорациясы GitHub жүйесінен Microsoft Exchange жүйесіндегі маңызды осалдықтың жұмыс істеу принципін көрсететін прототиптік эксплойт бар кодты (көшірме) алып тастады. Бұл әрекет көптеген қауіпсіздік зерттеушілерінің наразылығын тудырды, себебі эксплуатацияның прототипі патч шығарылғаннан кейін жарияланды, бұл әдеттегі тәжірибе.
GitHub ережелерінде белсенді зиянды кодты немесе эксплойттерді (яғни, пайдаланушы жүйелеріне шабуыл жасайтындар) репозитарийлерде орналастыруға, сондай-ақ GitHub-ті шабуылдар кезінде эксплоиттер мен зиянды кодты жеткізу платформасы ретінде пайдалануға тыйым салатын тармақ бар. Бірақ бұл ереже бұрын сатушы патч шығарғаннан кейін шабуыл әдістерін талдау үшін жарияланған зерттеуші-хосттағы код прототиптеріне қолданылмаған.
Мұндай код әдетте жойылмайтындықтан, GitHub әрекеттері Microsoft корпорациясы өз өніміндегі осалдық туралы ақпаратты бұғаттау үшін әкімшілік ресурстарды пайдалану ретінде қабылданды. Сыншылар Майкрософт корпорациясын қос стандартты және қауіпсіздікті зерттеу қауымдастығы үшін жоғары қызығушылық тудыратын мазмұнды цензура деп айыптады, себебі мазмұн Microsoft мүдделеріне зиян келтіреді. Google Project Zero командасының мүшесінің пікірінше, эксплойт прототиптерін жариялау тәжірибесі негізделген және пайда қауіптен басым, өйткені бұл ақпарат шабуылдаушылардың қолына түспей, зерттеу нәтижелерін басқа мамандармен бөлісу мүмкін емес.
Kryptos Logic зерттеушісі желіде әлі де 50 мыңнан астам жаңартылмаған Microsoft Exchange серверлері бар жағдайда шабуылдарға дайын эксплуатациялық прототиптерді жариялау күмәнді болып көрінетінін айтып, қарсылық білдіруге тырысты. Эксплойттерді ертерек жариялаудың зияны қауіпсіздік зерттеушілері үшін пайдадан асып түседі, өйткені мұндай эксплойттар әлі жаңартылмаған серверлердің үлкен санын көрсетеді.
GitHub өкілдері жоюды қызметтің рұқсат етілген пайдалану саясатының бұзылуы ретінде түсіндірді және зерттеу және білім беру мақсаттары үшін эксплуат прототиптерін жариялаудың маңыздылығын түсінетінін, сонымен қатар олар шабуылдаушылардың қолына тигізетін зиянның қаупін мойындайтынын айтты. Сондықтан GitHub қауіпсіздікті зерттеу қоғамдастығының мүдделері мен ықтимал құрбандарды қорғау арасындағы оңтайлы теңгерімді табуға тырысады. Бұл жағдайда, әлі жаңартылмаған жүйелердің көп саны болған жағдайда, шабуылдарды орындауға жарамды эксплойттың жариялануы GitHub ережелерін бұзу болып саналады.
Бір қызығы, шабуылдар қаңтарда, түзетілгенге дейін және осалдықтың бар-жоғы туралы ақпаратты ашқанға дейін (0 күн) басталған. Эксплойт прототипі жарияланғанға дейін қашықтан басқаруға арналған бэкдор орнатылған 100 мыңға жуық серверге шабуыл жасалды.
GitHub эксплуатының қашықтағы прототипі еркін пайдаланушының деректерін аутентификациясыз шығаруға мүмкіндік беретін CVE-2021-26855 (ProxyLogon) осалдығын көрсетті. CVE-2021-27065 біріктірілген кезде осалдық сонымен қатар әкімші құқықтары бар серверде кодты орындауға мүмкіндік береді.
Барлық эксплойттар жойылған жоқ; мысалы, GreyOrder командасы әзірлеген басқа эксплойттың жеңілдетілген нұсқасы әлі GitHub сайтында қалады. Эксплуатациялық ескертпеде Microsoft Exchange қызметін пайдаланатын компанияларға жаппай шабуыл жасау үшін пайдаланылуы мүмкін пошта серверіндегі пайдаланушыларды санау үшін кодқа қосымша функционалдылық қосылғаннан кейін бастапқы GreyOrder эксплойт жойылғанын айтады.
Ақпарат көзі: opennet.ru