Майкрософт GitHub-аас Microsoft Exchange дахь чухал эмзэг байдлын үйл ажиллагааны зарчмыг харуулсан прототипийн ашиглалт бүхий кодыг (хуулбар) устгасан. Энэ үйлдэл нь аюулгүй байдлын олон судлаачдын дургүйцлийг төрүүлэв, учир нь мөлжлөгийн прототипийг нөхөөсийг гаргасны дараа нийтэлсэн нь нийтлэг практик юм.
GitHub-ийн дүрмүүд нь идэвхтэй хортой код эсвэл мөлжлөгийг (жишээ нь, хэрэглэгчийн систем рүү халдаж буй) агуулахуудад байршуулахыг хориглох заалт, түүнчлэн GitHub-ийг халдлагын үед мөлжлөг болон хортой кодыг хүргэх платформ болгон ашиглахыг хориглодог. Гэхдээ энэ дүрэм өмнө нь худалдагч нөхөөсийг гаргасны дараа халдлагын аргуудад дүн шинжилгээ хийх зорилгоор хэвлэгдсэн судлаачийн зохион байгуулсан кодын прототипүүдэд хэрэглэгдэж байгаагүй.
Ийм кодыг ихэвчлэн устгадаггүй тул GitHub-ийн үйлдлийг Майкрософт өөрийн бүтээгдэхүүн дэх эмзэг байдлын талаарх мэдээллийг хаахын тулд захиргааны нөөц ашиглаж байна гэж ойлгосон. Шүүмжлэгчид Майкрософтыг давхар стандарт, аюулгүй байдлын судалгааны нийгэмлэгийн сонирхлыг ихэд татсан контентыг зөвхөн Microsoft-ын ашиг сонирхлыг хохироож байна гэж буруутгаж байна. Google Project Zero багийн гишүүний хэлснээр, эксплойтийн загваруудыг нийтлэх нь үндэслэлтэй бөгөөд ашиг тус нь эрсдэлээс давж гардаг, учир нь эдгээр мэдээлэл халдагчдын гарт орохгүйгээр судалгааны үр дүнг бусад мэргэжилтнүүдтэй хуваалцах боломжгүй юм.
Сүлжээнд 50 мянга гаруй шинэчлэгдээгүй Microsoft Exchange серверүүд байгаа нөхцөлд халдлагад бэлэн ашиглах прототипүүдийг нийтлэх нь эргэлзээтэй байгааг Kryptos Logic-ийн судлаач эсэргүүцэхийг оролдсон. Ийм мөлжлөг нь хараахан шинэчлэгдээгүй олон тооны серверүүдийг илрүүлдэг тул мөлжлөгийг эрт нийтлэх нь аюулгүй байдлын судлаачдад үзүүлэх ашиг тусаас давж гардаг.
GitHub-ын төлөөлөгчид устгасан нь үйлчилгээний зөвшөөрөгдөх хэрэглээний бодлогыг зөрчсөн гэж тайлбарлаж, судалгааны болон боловсролын зорилгоор ашиглах прототипүүдийг нийтлэхийн ач холбогдлыг ойлгож байгаа ч халдагчдын гарт учирч болох хохирлын аюулыг хүлээн зөвшөөрч байгаагаа мэдэгдэв. Тиймээс GitHub нь аюулгүй байдлын судалгааны нийгэмлэгийн ашиг сонирхол болон болзошгүй хохирогчдыг хамгаалах хоорондын оновчтой тэнцвэрийг олохыг хичээж байна. Энэ тохиолдолд шинэчлэгдээгүй олон тооны систем байгаа тохиолдолд халдлага үйлдэхэд тохиромжтой мөлжлөгийг нийтлэх нь GitHub дүрмийг зөрчсөн гэж үзнэ.
Халдлагууд 0-р сард буюу эмзэг байдлын талаарх мэдээллийг задруулахаас нэлээд өмнө буюу 100-хоногт эхэлсэн нь анхаарал татаж байна. Ашиглалтын прототипийг нийтлэхээс өмнө XNUMX мянга орчим серверүүд халдлагад өртөж, алсын удирдлагатай арын хаалга суурилуулсан байв.
Алсын GitHub ашиглалтын прототип нь CVE-2021-26855 (ProxyLogon) эмзэг байдлыг харуулсан бөгөөд энэ нь дур мэдэн хэрэглэгчийн өгөгдлийг баталгаажуулалтгүйгээр задлах боломжийг олгодог. Энэ эмзэг байдал нь CVE-2021-27065-тай хослуулсан тохиолдолд администраторын эрх бүхий сервер дээр кодыг гүйцэтгэх боломжийг олгодог.
Бүх мөлжлөгийг устгаагүй; жишээлбэл, GreyOrder багийн боловсруулсан өөр эксплойтийн хялбаршуулсан хувилбар GitHub дээр хэвээр байна. Мэйлийн сервер дээрх хэрэглэгчдийг тоолох нэмэлт функцийг кодонд нэмсний дараа анхны GreyOrder эксплэйтийг устгасан бөгөөд энэ нь Microsoft Exchange ашигладаг компаниуд руу бөөнөөр халдлага үйлдэхэд ашиглагдах боломжтой гэж эксплойтийн тэмдэглэлд дурджээ.
Эх сурвалж: opennet.ru