مایکروسافټ د GitHub څخه کوډ (کاپي) د پروټوټایپ استحصال سره لرې کړ چې په مایکروسافټ ایکسچینج کې د جدي زیان مننې عملیات اصول ښیې. دا عمل د ډیری امنیتي څیړونکو تر مینځ د غصې لامل شوی ، ځکه چې د کارونې پروټوټایپ د پیچ له خوشې کیدو وروسته خپور شو ، کوم چې یو عام عمل دی.
د GitHub مقررات یوه ماده لري چې په زیرمو کې د فعال ناوړه کوډ یا استحصال (د بیلګې په توګه د کارونکي سیسټمونو برید کونکي) ځای په ځای کول منع کوي ، او همدارنګه د بریدونو پرمهال د استحصال او ناوړه کوډ وړاندې کولو لپاره د پلیټ فارم په توګه د GitHub کارول. مګر دا قاعده دمخه د څیړونکي لخوا کوربه شوي کوډ پروټوټایپونو کې نه پلي شوي چې د برید میتودونو تحلیل کولو لپاره خپاره شوي وروسته له دې چې پلورونکی پیچ خپور کړي.
څرنګه چې دا ډول کوډ معمولا نه لیرې کیږي، د GitHub کړنې د مایکروسافټ په توګه د اداري سرچینو په کارولو سره په خپل محصول کې د زیان مننې په اړه معلومات بندوي. منتقدینو مایکروسافټ په دوه ګوني معیارونو تورن کړی او د امنیت څیړنې ټولنې ته د لوړې ګټې مینځپانګې سانسور کوي یوازې ځکه چې مینځپانګه د مایکروسافټ ګټو ته زیان رسوي. د ګوګل پروژې زیرو ټیم د غړي په وینا، د استحصال پروټوټایپونو خپرولو عمل توجیه دی او ګټه یې د خطر څخه ډیره ده، ځکه چې د دې معلوماتو پرته د برید کونکو په لاس کې د نورو متخصصینو سره د څیړنې پایلې شریکولو لپاره هیڅ لاره نشته.
د کریپټوس منطق څخه یوه څیړونکي د اعتراض هڅه وکړه ، په ګوته یې کړه چې په داسې حالت کې چې لاهم په شبکه کې له 50 زره څخه ډیر تازه شوي مایکروسافټ ایکسچینج سرورونه شتون لري ، د بریدونو لپاره چمتو شوي پروټوټایپونو استحصال کول شکمن ښکاري. هغه زیان چې د استخراج په پیل کې خپریدل د امنیت څیړونکو لپاره د ګټې څخه ډیر کیدی شي، ځکه چې دا ډول کارونې ډیری سرورونه افشا کوي چې لا تر اوسه نوي شوي ندي.
د GitHub استازو د خدماتو د منلو وړ کارولو پالیسیو څخه د سرغړونې په توګه د لیرې کولو په اړه تبصره وکړه او ویې ویل چې دوی د څیړنې او تعلیمي موخو لپاره د استحصال پروټوټایپونو خپرولو په اهمیت پوهیږي، مګر د زیان خطر هم پیژني چې دوی کولی شي د برید کونکو په لاسونو کې رامینځته کړي. له همدې امله، GitHub هڅه کوي د امنیتي څیړنې ټولنې ګټو او د احتمالي قربانیانو د ساتنې تر مینځ غوره توازن ومومي. په دې حالت کې، د بریدونو ترسره کولو لپاره مناسبه ګټه اخیستنه خپرول، په دې شرط چې د سیسټمونو لوی شمیر شتون ولري چې لا تر اوسه نوي شوي ندي، د GitHub قواعدو څخه سرغړونه ګڼل کیږي.
د یادولو وړ ده چې بریدونه د جنورۍ په میاشت کې پیل شوي، مخکې له دې چې د فکس کولو او د زیانمننې شتون په اړه د معلوماتو افشا کولو (0-ورځو) څخه وړاندې. د استحصال پروټوټایپ خپریدو دمخه ، شاوخوا 100 زره سرورونه دمخه برید شوي و ، په کوم کې چې د ریموټ کنټرول لپاره شاته دروازه نصب شوې وه.
د ریموټ GitHub استحصال پروټوټایپ د CVE-2021-26855 (ProxyLogon) زیانمنتیا ښودلې ، کوم چې د خپل سري کارونکي ډیټا ته اجازه ورکوي پرته له تصدیق څخه استخراج شي. کله چې د CVE-2021-27065 سره یوځای شي، زیانمنتیا هم اجازه ورکړه چې کوډ په سرور کې د مدیر حقونو سره اجرا شي.
ټولې استحصالونه نه دي لرې شوي؛ د مثال په توګه، د ګری آرډر ټیم لخوا رامینځته شوي د بل استحصال ساده نسخه لاهم په GitHub کې پاتې ده. د استحصال یادداشت کې ویل شوي چې اصلي ګری آرډر استحصال وروسته له هغه لرې شو چې په میل سرور کې د کاروونکو شمیرلو لپاره کوډ کې اضافي فعالیت اضافه شو ، کوم چې د مایکروسافټ ایکسچینج کارولو شرکتونو باندې د ډله ایزو بریدونو ترسره کولو لپاره کارول کیدی شي.
سرچینه: opennet.ru