Microsoft waxay ka saartay GitHub koodka (koobiga) oo wata nooc ka faa'iidaysi oo muujinaya mabda'a hawlgalka nuglaanta muhiimka ah ee Microsoft Exchange. Falkani waxa uu caro ka dhex abuuray cilmi-baarayaal badan oo dhinaca ammaanka ah, maadaama nooca ka faa’iidaysiga la daabacay ka dib markii la sii daayay balastarkii, taas oo ah dhaqan caadi ah.
Xeerarka GitHub waxay ka kooban yihiin qodob mamnuucaya meelaynta kood xaasidnimo firfircoon ama ka faa'iidaysi (sida, kuwa weeraraya nidaamyada adeegsadaha) meelaha kaydka ah, iyo sidoo kale isticmaalka GitHub oo ah goob lagu bixiyo faa'iidada iyo koodka xaasidnimada ah inta lagu jiro weerarada. Laakiin sharcigan hore looguma dabaqin hab-dhaqameedyada koodka ee cilmi-baadhigu martigeliyay ee la daabacay si loo falanqeeyo hababka weerarka ka dib marka iibiyuhu sii daayo balastar.
Maadaama koodhkan oo kale aan inta badan meesha laga saarin, Ficilada GitHub waxaa loo arkay in Microsoft ay isticmaalayso agabka maamulka si ay u xannibto macluumaadka ku saabsan nuglaanta alaabteeda. Dhaleeceyntu waxay ku eedeeyeen Microsoft inay leedahay laba-beeg iyo faafreeb waxa ku jira xiisaha sare ee bulshada cilmi-baarista amniga sababtoo ah waxa ku jira ayaa waxyeelo u geysta danaha Microsoft. Sida laga soo xigtay xubin ka mid ah kooxda Google Project Zero, dhaqanka daabacaadda prototypes ka faa'iidaysiga waa xaq oo faa'iidada ayaa ka miisaan badan khatarta, maadaama aysan jirin si loo wadaago natiijooyinka cilmi-baarista takhasuska kale ee takhasuska leh iyada oo aan macluumaadkani ku dhicin gacmaha weeraryahannada.
Cilmi-baare ka socda Kryptos Logic ayaa isku dayay inuu diido, isaga oo tilmaamaya in xaalad ay weli ku jiraan in ka badan 50 kun oo adeegayaasha Microsoft Exchange ee shabakada, daabacaadda ka faa'iidaysiga prototypes diyaar u ah weeraro ayaa u muuqda shaki. Dhibta ay leedahay daabacaadda hore ee ka faa'iidaysiga waxay keeni kartaa ka miisaan badan faa'iidada cilmi-baarayaasha amniga, maadaama ka faa'iidaysiga noocan oo kale ah uu soo bandhigo tiro badan oo server ah oo aan weli la cusboonaysiin.
Wakiilada GitHub ayaa ka faallooday ka saarista iyada oo xadgudub ku ah siyaasadaha isticmaalka la aqbali karo ee adeega waxayna sheegeen inay fahmeen muhiimada ay leedahay daabacaadda tusaalooyinka ka faa'iidaysiga ujeedooyinka cilmi baarista iyo waxbarashada, laakiin sidoo kale waxay aqoonsadaan khatarta dhaawaca ay ku keeni karaan gacmaha weeraryahanada. Sidaa darteed, GitHub waxay isku dayeysaa inay hesho dheelitirka ugu wanaagsan ee u dhexeeya danaha bulshada cilmi-baarista amniga iyo ilaalinta dhibanayaasha suurtagalka ah. Xaaladdan oo kale, daabacaadda ka faa'iidaysiga ku habboon fulinta weerarrada, haddii ay jiraan tiro badan oo nidaamyo ah oo aan weli la cusboonaysiin, waxaa loo arkaa inay jabinayso xeerarka GitHub.
Waxaa xusid mudan in weerarradu ay bilowdeen bishii Janaayo, muddo dheer ka hor inta aan la sii dayn hagaajinta iyo shaacinta macluumaadka ku saabsan joogitaanka dayacanka (0-maalin). Ka hor inta aan la daabicin tusaalaha ka faa'iidaysiga, ilaa 100 kun oo adeegayaal ayaa mar hore la weeraray, kaas oo albaab danbe oo loogu talagalay kontoroolka fog laga rakibay.
Tusaalaha ka faa'iidaysiga fog ee GitHub ayaa muujiyay nuglaanshaha CVE-2021-26855 (ProxyLogon), kaas oo u oggolaanaya xogta isticmaale aan caadi ahayn in la soo saaro iyada oo aan la hubin. Marka lagu daro CVE-2021-27065, baylahdu waxay sidoo kale ogolaatay in kood lagu fuliyo serverka oo leh xuquuqda maamulaha.
Ka faa'iidaysiga oo dhan lama saarin; tusaale ahaan, nooca la fududeeyay ee ka faa'iidaysiga kale ee ay sameeyeen kooxda GreyOrder ayaa wali ku sii jira GitHub. Qoraalka faa'iidada ayaa sheegaysa in ka faa'iidaysiga asalka ah ee GreyOrder la saaray ka dib markii shaqo dheeraad ah lagu daray koodhka si loo xisaabiyo isticmaalayaasha server-ka boostada, kaas oo loo isticmaali karo in lagu qaado weeraro ballaaran oo lagu qaado shirkadaha isticmaalaya Microsoft Exchange.
Source: opennet.ru