ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ಮೈಕ್ರೋಸಾಫ್ಟ್ ಎಕ್ಸ್‌ಚೇಂಜ್ ಎಕ್ಸ್‌ಪ್ಲೋಯಿಟ್ ಪ್ರೊಟೊಟೈಪ್ ಅನ್ನು ಗಿಟ್‌ಹಬ್‌ನಿಂದ ತೆಗೆದುಹಾಕಿದ ನಂತರ ಮೈಕ್ರೋಸಾಫ್ಟ್ ಟೀಕಿಸುತ್ತದೆ

ಮೈಕ್ರೋಸಾಫ್ಟ್ ಎಕ್ಸ್‌ಚೇಂಜ್ ಎಕ್ಸ್‌ಪ್ಲೋಯಿಟ್ ಪ್ರೊಟೊಟೈಪ್ ಅನ್ನು ಗಿಟ್‌ಹಬ್‌ನಿಂದ ತೆಗೆದುಹಾಕಿದ ನಂತರ ಮೈಕ್ರೋಸಾಫ್ಟ್ ಟೀಕಿಸುತ್ತದೆ

ಮೈಕ್ರೋಸಾಫ್ಟ್ ಮೈಕ್ರೋಸಾಫ್ಟ್ ಎಕ್ಸ್ಚೇಂಜ್ನಲ್ಲಿ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯ ಕಾರ್ಯಾಚರಣೆಯ ತತ್ವವನ್ನು ಪ್ರದರ್ಶಿಸುವ ಪ್ರೋಟೋಟೈಪ್ ಶೋಷಣೆಯೊಂದಿಗೆ ಕೋಡ್ (ನಕಲು) ಅನ್ನು GitHub ನಿಂದ ತೆಗೆದುಹಾಕಿದೆ. ಈ ಕ್ರಮವು ಅನೇಕ ಭದ್ರತಾ ಸಂಶೋಧಕರಲ್ಲಿ ಆಕ್ರೋಶವನ್ನು ಉಂಟುಮಾಡಿತು, ಏಕೆಂದರೆ ಶೋಷಣೆಯ ಮೂಲಮಾದರಿಯನ್ನು ಪ್ಯಾಚ್ ಬಿಡುಗಡೆಯ ನಂತರ ಪ್ರಕಟಿಸಲಾಯಿತು, ಇದು ಸಾಮಾನ್ಯ ಅಭ್ಯಾಸವಾಗಿದೆ.

GitHub ನಿಯಮಗಳು ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಸಕ್ರಿಯ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅಥವಾ ಶೋಷಣೆಗಳನ್ನು (ಅಂದರೆ, ಬಳಕೆದಾರ ಸಿಸ್ಟಮ್‌ಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡುವವರು) ನಿಯೋಜನೆಯನ್ನು ನಿಷೇಧಿಸುವ ಷರತ್ತನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ, ಜೊತೆಗೆ ದಾಳಿಯ ಸಮಯದಲ್ಲಿ ಶೋಷಣೆಗಳು ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ತಲುಪಿಸುವ ವೇದಿಕೆಯಾಗಿ GitHub ಅನ್ನು ಬಳಸುತ್ತವೆ. ಆದರೆ ಮಾರಾಟಗಾರನು ಪ್ಯಾಚ್ ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದ ನಂತರ ದಾಳಿ ವಿಧಾನಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಪ್ರಕಟಿಸಲಾದ ಸಂಶೋಧಕ-ಹೋಸ್ಟ್ ಮಾಡಿದ ಕೋಡ್ ಮೂಲಮಾದರಿಗಳಿಗೆ ಈ ನಿಯಮವನ್ನು ಈ ಹಿಂದೆ ಅನ್ವಯಿಸಲಾಗಿಲ್ಲ.

ಅಂತಹ ಕೋಡ್ ಅನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ತೆಗೆದುಹಾಕಲಾಗುವುದಿಲ್ಲವಾದ್ದರಿಂದ, GitHub ನ ಕ್ರಿಯೆಗಳನ್ನು ಮೈಕ್ರೋಸಾಫ್ಟ್ ತನ್ನ ಉತ್ಪನ್ನದಲ್ಲಿನ ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ನಿರ್ಬಂಧಿಸಲು ಆಡಳಿತಾತ್ಮಕ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಬಳಸುತ್ತಿದೆ ಎಂದು ಗ್ರಹಿಸಲಾಗಿದೆ. ಮೈಕ್ರೋಸಾಫ್ಟ್ನ ಹಿತಾಸಕ್ತಿಗಳಿಗೆ ಹಾನಿಯುಂಟುಮಾಡುತ್ತದೆ ಎಂಬ ಕಾರಣಕ್ಕಾಗಿ ವಿಮರ್ಶಕರು ಮೈಕ್ರೋಸಾಫ್ಟ್ ಎರಡು ಮಾನದಂಡಗಳನ್ನು ಮತ್ತು ಭದ್ರತಾ ಸಂಶೋಧನಾ ಸಮುದಾಯಕ್ಕೆ ಹೆಚ್ಚಿನ ಆಸಕ್ತಿಯ ವಿಷಯವನ್ನು ಸೆನ್ಸಾರ್ ಮಾಡಿದ್ದಾರೆ ಎಂದು ಆರೋಪಿಸಿದ್ದಾರೆ. Google Project Zero ತಂಡದ ಸದಸ್ಯರ ಪ್ರಕಾರ, ಶೋಷಣೆಯ ಮೂಲಮಾದರಿಗಳನ್ನು ಪ್ರಕಟಿಸುವ ಅಭ್ಯಾಸವು ಸಮರ್ಥನೀಯವಾಗಿದೆ ಮತ್ತು ಪ್ರಯೋಜನವು ಅಪಾಯವನ್ನು ಮೀರಿಸುತ್ತದೆ, ಏಕೆಂದರೆ ಈ ಮಾಹಿತಿಯು ಆಕ್ರಮಣಕಾರರ ಕೈಗೆ ಬೀಳದೆ ಇತರ ತಜ್ಞರೊಂದಿಗೆ ಸಂಶೋಧನಾ ಫಲಿತಾಂಶಗಳನ್ನು ಹಂಚಿಕೊಳ್ಳಲು ಯಾವುದೇ ಮಾರ್ಗವಿಲ್ಲ.

ಕ್ರಿಪ್ಟೋಸ್ ಲಾಜಿಕ್‌ನ ಸಂಶೋಧಕರು ಆಕ್ಷೇಪಿಸಲು ಪ್ರಯತ್ನಿಸಿದರು, ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಇನ್ನೂ 50 ಸಾವಿರಕ್ಕೂ ಹೆಚ್ಚು ನವೀಕರಿಸದ ಮೈಕ್ರೋಸಾಫ್ಟ್ ಎಕ್ಸ್‌ಚೇಂಜ್ ಸರ್ವರ್‌ಗಳು ಇರುವ ಪರಿಸ್ಥಿತಿಯಲ್ಲಿ, ದಾಳಿಗೆ ಸಿದ್ಧವಾಗಿರುವ ಶೋಷಣೆಯ ಮೂಲಮಾದರಿಗಳ ಪ್ರಕಟಣೆಯು ಅನುಮಾನಾಸ್ಪದವಾಗಿದೆ ಎಂದು ಸೂಚಿಸಿದರು. ಶೋಷಣೆಗಳ ಆರಂಭಿಕ ಪ್ರಕಟಣೆಯು ಉಂಟುಮಾಡುವ ಹಾನಿಯು ಭದ್ರತಾ ಸಂಶೋಧಕರಿಗೆ ಪ್ರಯೋಜನವನ್ನು ಮೀರಿಸುತ್ತದೆ, ಏಕೆಂದರೆ ಅಂತಹ ಶೋಷಣೆಗಳು ಇನ್ನೂ ನವೀಕರಿಸದಿರುವ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಸರ್ವರ್‌ಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತವೆ.

GitHub ಪ್ರತಿನಿಧಿಗಳು ಸೇವೆಯ ಸ್ವೀಕಾರಾರ್ಹ ಬಳಕೆಯ ನೀತಿಗಳ ಉಲ್ಲಂಘನೆ ಎಂದು ತೆಗೆದುಹಾಕುವುದರ ಕುರಿತು ಕಾಮೆಂಟ್ ಮಾಡಿದ್ದಾರೆ ಮತ್ತು ಸಂಶೋಧನೆ ಮತ್ತು ಶೈಕ್ಷಣಿಕ ಉದ್ದೇಶಗಳಿಗಾಗಿ ಶೋಷಣೆಯ ಮೂಲಮಾದರಿಗಳನ್ನು ಪ್ರಕಟಿಸುವ ಪ್ರಾಮುಖ್ಯತೆಯನ್ನು ಅವರು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುತ್ತಾರೆ, ಆದರೆ ಆಕ್ರಮಣಕಾರರ ಕೈಯಲ್ಲಿ ಅವರು ಉಂಟುಮಾಡುವ ಹಾನಿಯ ಅಪಾಯವನ್ನು ಗುರುತಿಸುತ್ತಾರೆ. ಆದ್ದರಿಂದ, GitHub ಭದ್ರತಾ ಸಂಶೋಧನಾ ಸಮುದಾಯದ ಆಸಕ್ತಿಗಳು ಮತ್ತು ಸಂಭಾವ್ಯ ಬಲಿಪಶುಗಳ ರಕ್ಷಣೆಯ ನಡುವಿನ ಅತ್ಯುತ್ತಮ ಸಮತೋಲನವನ್ನು ಕಂಡುಹಿಡಿಯಲು ಪ್ರಯತ್ನಿಸುತ್ತಿದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಇನ್ನೂ ನವೀಕರಿಸದ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಸಿಸ್ಟಮ್‌ಗಳನ್ನು ಒದಗಿಸಿದ ದಾಳಿಗಳನ್ನು ನಡೆಸಲು ಸೂಕ್ತವಾದ ಶೋಷಣೆಯ ಪ್ರಕಟಣೆಯು GitHub ನಿಯಮಗಳನ್ನು ಉಲ್ಲಂಘಿಸುತ್ತದೆ ಎಂದು ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ.

ದುರ್ಬಲತೆಯ (0-ದಿನ) ಉಪಸ್ಥಿತಿಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯ ಫಿಕ್ಸ್ ಮತ್ತು ಬಹಿರಂಗಪಡಿಸುವಿಕೆಯ ಬಿಡುಗಡೆಯ ಮುಂಚೆಯೇ, ಜನವರಿಯಲ್ಲಿ ದಾಳಿಗಳು ಪ್ರಾರಂಭವಾದವು ಎಂಬುದು ಗಮನಾರ್ಹವಾಗಿದೆ. ಶೋಷಣೆಯ ಮೂಲಮಾದರಿಯನ್ನು ಪ್ರಕಟಿಸುವ ಮೊದಲು, ಸುಮಾರು 100 ಸಾವಿರ ಸರ್ವರ್‌ಗಳನ್ನು ಈಗಾಗಲೇ ದಾಳಿ ಮಾಡಲಾಗಿದೆ, ಅದರ ಮೇಲೆ ರಿಮೋಟ್ ಕಂಟ್ರೋಲ್‌ಗಾಗಿ ಹಿಂಬಾಗಿಲನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ.

ರಿಮೋಟ್ GitHub ಶೋಷಣೆಯ ಮೂಲಮಾದರಿಯು CVE-2021-26855 (ProxyLogon) ದುರ್ಬಲತೆಯನ್ನು ಪ್ರದರ್ಶಿಸಿತು, ಇದು ಅನಿಯಂತ್ರಿತ ಬಳಕೆದಾರರ ಡೇಟಾವನ್ನು ದೃಢೀಕರಣವಿಲ್ಲದೆ ಹೊರತೆಗೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. CVE-2021-27065 ನೊಂದಿಗೆ ಸಂಯೋಜಿಸಿದಾಗ, ದುರ್ಬಲತೆಯು ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಸರ್ವರ್‌ನಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಸಹ ಅನುಮತಿಸುತ್ತದೆ.

ಎಲ್ಲಾ ಶೋಷಣೆಗಳನ್ನು ತೆಗೆದುಹಾಕಲಾಗಿಲ್ಲ; ಉದಾಹರಣೆಗೆ, GreyOrder ತಂಡವು ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಮತ್ತೊಂದು ಶೋಷಣೆಯ ಸರಳೀಕೃತ ಆವೃತ್ತಿಯು ಇನ್ನೂ GitHub ನಲ್ಲಿ ಉಳಿದಿದೆ. ಮೈಕ್ರೋಸಾಫ್ಟ್ ಎಕ್ಸ್‌ಚೇಂಜ್ ಬಳಸುವ ಕಂಪನಿಗಳ ಮೇಲೆ ಸಾಮೂಹಿಕ ದಾಳಿಗಳನ್ನು ನಡೆಸಲು ಬಳಸಬಹುದಾದ ಮೇಲ್ ಸರ್ವರ್‌ನಲ್ಲಿ ಬಳಕೆದಾರರನ್ನು ಎಣಿಸಲು ಕೋಡ್‌ಗೆ ಹೆಚ್ಚುವರಿ ಕಾರ್ಯವನ್ನು ಸೇರಿಸಿದ ನಂತರ ಮೂಲ ಗ್ರೇಆರ್ಡರ್ ಶೋಷಣೆಯನ್ನು ತೆಗೆದುಹಾಕಲಾಗಿದೆ ಎಂದು ಶೋಷಣೆ ಟಿಪ್ಪಣಿ ಹೇಳುತ್ತದೆ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ