Microsoft ji GitHub kodê (kopî) bi îstismarek prototîpek ku prensîba xebitandinê ya zerariyek krîtîk di Microsoft Exchange de destnîşan dike rakirin. Ev kiryar di nav gelek lêkolînerên ewlehiyê de bû sedema hêrsbûnê, ji ber ku prototîpa îstîsmarê piştî serbestberdana patchê, ku pratîkek hevpar e, hate weşandin.
Rêzikên GitHub bendek dihewîne ku cîhkirina koda xirab a çalak an îstismar (ango, êrişkirina pergalên bikarhêner) di depoyan de, û her weha karanîna GitHub wekî platformek ji bo radestkirina kedxwarî û kodên xirab di dema êrîşan de qedexe dike. Lê ev qaîdeyek berê li ser prototîpên kodê yên lêkolîner-mêvandar nehatibû sepandin ku ji bo analîzkirina rêbazên êrîşê piştî ku firoşkarek patchek derxistiye hatine weşandin.
Ji ber ku kodek wusa bi gelemperî nayê rakirin, kiryarên GitHub wekî ku Microsoft çavkaniyên îdarî bikar tîne da ku agahdariya di derheqê qelsiya hilberê xwe de asteng bike. Rexnegiran Microsoft bi standardên dualî û sansûrkirina naveroka balkêş ji civata lêkolîna ewlehiyê re tawanbar kirin tenê ji ber ku naverok zirarê dide berjewendîyên Microsoft. Li gorî endamek tîmê Google Project Zero, pratîka weşandina prototîpên îstîsmarê rewa ye û feyde ji xetereyê zêdetir e, ji ber ku bêyî ku ev agahdarî bikeve destê êrîşkaran rê tune ku encamên lêkolînê bi pisporên din re parve bikin.
Lêkolînerek ji Kryptos Logic hewl da ku îtîraz bike, û destnîşan kir ku di rewşek de ku hîn jî zêdetirî 50 hezar yên nûvekirî li ser torê hene pêşkêşkerên Weşandina prototîpên îstîsmarê yên amade ji bo êrîşê ji hêla Microsoft Exchange ve gumanbar xuya dike. Zirara ku berdana îstîsmarê ya zû dikare ji feydeya lêkolînerên ewlehiyê re çêbike girantir e, ji ber ku îstîsmarên weha hejmareke mezin ji serverên ku hîn nehatine nûvekirin eşkere dikin.
Nûnerên GitHub li ser rakirina wekî binpêkirina Polîtîkayên Bikaranîna Pejirdar ên karûbarê şîrove kirin û diyar kirin ku ew girîngiya weşandina prototîpên îstîsmarê ji bo mebestên lêkolîn û perwerdehiyê fam dikin, lê di heman demê de xetereya zirara ku ew dikarin di destên êrîşkaran de derxin jî nas dikin. Ji ber vê yekê, GitHub hewl dide ku hevsengiya çêtirîn di navbera berjewendîyên civata lêkolîna ewlehiyê û parastina mexdûrên potansiyel de bibîne. Di vê rewşê de, weşandina kedxwariyek minasib ji bo pêkanîna êrîşan, bi şertê ku hejmareke mezin ji pergalên ku hêj nehatine nûve kirin hebin, tê hesibandin ku rêzikên GitHub binpê dike.
Hêjayî balkişandinê ye ku êrîşan di Çileyê Paşîn de dest pê kiribûn, gelek berî belavkirina rastkirin û eşkerekirina zanyariyan derbarê hebûna lawazbûnê (0-roj). Berî ku prototîpa îstîsmarê were weşandin, nêzîkê 100 hezar server berê rastî êrişê hatibûn, ku li ser wan derîyek paşde ya ji bo kontrolkirina ji dûr ve hatibû saz kirin.
Prototîpek ji GitHubê hate rakirin û lawaziya CVE-2021-26855 (ProxyLogon) nîşan da, ku destûrê dide derxistina daneyên bikarhêner ên keyfî bêyî pejirandinê. Dema ku bi CVE-2021-27065 re hate hev kirin, lawazî rê da bicîhanîna kodê jî. server bi mafên rêvebir.
Mînakî, hemî îstîsmar nehatine rakirin, guhertoyek hêsankirî ya îstismarek din a ku ji hêla tîmê GreyOrder ve hatî pêşve xistin hîn jî li ser GitHub dimîne. Nîşeya îstîsmarê diyar dike ku îstismara GreyOrder ya orîjînal hate rakirin piştî ku fonksiyonek din li kodê hate zêdekirin da ku bikarhêneran li ser servera nameyê bihejmêre, ku dikare were bikar anîn da ku êrişên girseyî li ser pargîdaniyên ku Microsoft Exchange bikar tînin pêk bînin.
Source: opennet.ru
