Microsoft neħħiet minn GitHub il-kodiċi (kopja) bi sfruttament prototip li juri l-prinċipju tat-tħaddim ta 'vulnerabbiltà kritika fil-Microsoft Exchange. Din l-azzjoni ikkawżat għajb fost ħafna riċerkaturi tas-sigurtà, peress li l-prototip tal-isfruttament ġie ppubblikat wara r-rilaxx tal-garża, li hija prattika komuni.
Ir-regoli tal-GitHub fihom klawżola li tipprojbixxi t-tqegħid ta’ kodiċi jew sfruttamenti malizzjużi attivi (jiġifieri, dawk li jattakkaw is-sistemi tal-utenti) f’repożitorji, kif ukoll l-użu ta’ GitHub bħala pjattaforma għat-twassil ta’ sfruttamenti u kodiċi malizzjuż waqt l-attakki. Iżda din ir-regola ma ġietx applikata qabel għal prototipi ta 'kodiċi ospitati minn riċerkaturi ppubblikati biex janalizzaw metodi ta' attakk wara li bejjiegħ jirrilaxxa garża.
Peress li tali kodiċi normalment ma jitneħħax, l-azzjonijiet ta 'GitHub kienu pperċepiti bħala Microsoft li tuża riżorsi amministrattivi biex timblokka l-informazzjoni dwar il-vulnerabbiltà fil-prodott tagħha. Il-kritiċi akkużaw lill-Microsoft bi standards doppji u li ċċensuraw kontenut ta’ interess kbir għall-komunità tar-riċerka tas-sigurtà sempliċement minħabba li l-kontenut jagħmel ħsara lill-interessi ta’ Microsoft. Skont membru tat-tim Google Project Zero, il-prattika tal-pubblikazzjoni ta' prototipi ta' sfruttament hija ġġustifikata u l-benefiċċju jegħleb ir-riskju, peress li m'hemm l-ebda mod kif jaqsmu r-riżultati tar-riċerka ma 'speċjalisti oħra mingħajr ma din l-informazzjoni taqa' f'idejn l-attakkanti.
Riċerkatur minn Kryptos Logic ipprova joġġezzjona, u rrimarka li f'sitwazzjoni fejn għad hemm aktar minn 50 elf servers Microsoft Exchange mhux aġġornati fuq in-netwerk, il-pubblikazzjoni ta 'prototipi ta' sfruttament lesti għall-attakki tidher dubjuża. Il-ħsara li tista' tikkawża l-pubblikazzjoni bikrija tal-isfrutti tegħleb il-benefiċċju għar-riċerkaturi tas-sigurtà, peress li tali sfrutti jesponu numru kbir ta' servers li għadhom ma ġewx aġġornati.
Ir-rappreżentanti ta 'GitHub ikkummentaw dwar it-tneħħija bħala ksur tal-Politiki ta' Użu Aċċettabbli tas-servizz u ddikjaraw li jifhmu l-importanza li jippubblikaw prototipi ta 'sfruttament għal skopijiet ta' riċerka u edukattivi, iżda jirrikonoxxu wkoll il-periklu ta 'ħsara li jistgħu jikkawżaw f'idejn l-attakkanti. Għalhekk, GitHub qed jipprova jsib l-aħjar bilanċ bejn l-interessi tal-komunità tar-riċerka tas-sigurtà u l-protezzjoni tal-vittmi potenzjali. F'dan il-każ, il-pubblikazzjoni ta 'sfruttament adattat għat-twettiq ta' attakki, sakemm ikun hemm numru kbir ta 'sistemi li għadhom ma ġewx aġġornati, hija kkunsidrata li tikser ir-regoli GitHub.
Ta 'min jinnota li l-attakki bdew f'Jannar, ħafna qabel ir-rilaxx tal-iffissar u l-iżvelar ta' informazzjoni dwar il-preżenza tal-vulnerabbiltà (0-day). Qabel ma ġie ppubblikat il-prototip tal-isfruttament, madwar 100 elf servers kienu diġà ġew attakkati, li fuqhom kien ġie installat backdoor għall-kontroll mill-bogħod.
Prototip ta' sfruttament GitHub remot wera l-vulnerabbiltà CVE-2021-26855 (ProxyLogon), li tippermetti li d-dejta ta 'utent arbitrarju tiġi estratta mingħajr awtentikazzjoni. Meta kkombinata ma 'CVE-2021-27065, il-vulnerabbiltà ppermettiet ukoll li l-kodiċi jiġi esegwit fuq is-server bi drittijiet ta' amministratur.
Mhux l-isfrutti kollha tneħħew; pereżempju, verżjoni simplifikata ta 'exploit ieħor żviluppat mit-tim GreyOrder għadha fuq GitHub. In-nota tal-isfruttament tiddikjara li l-isfruttament GreyOrder oriġinali tneħħa wara li ġiet miżjuda funzjonalità addizzjonali mal-kodiċi biex jiġu enumerati l-utenti fuq is-server tal-posta, li jista 'jintuża biex iwettqu attakki tal-massa fuq kumpaniji li jużaw Microsoft Exchange.
Sors: opennet.ru