Microsoft parantos ngaleungitkeun kode (salinan) tina GitHub kalayan prototipe eksploitasi anu nunjukkeun prinsip operasi kerentanan kritis dina Microsoft Exchange. Aksi ieu nyababkeun amarah diantara seueur peneliti kaamanan, sabab prototipe eksploitasi ieu diterbitkeun saatos sékrési patch, anu mangrupikeun prakték umum.
Aturan GitHub ngandung klausa anu ngalarang panempatan kode jahat aktip atanapi eksploitasi (nyaéta, sistem pangguna anu nyerang) dina repositori, ogé panggunaan GitHub salaku platform pikeun ngirimkeun eksploitasi sareng kode jahat nalika serangan. Tapi aturan ieu saacanna teu dilarapkeun ka prototipe kode panalungtik-hosted diterbitkeun pikeun nganalisis métode serangan sanggeus ngajual hiji ngaleupaskeun patch.
Kusabab kodeu sapertos kitu biasana henteu dipupus, tindakan GitHub dianggap salaku Microsoft ngagunakeun sumber administratif pikeun meungpeuk inpormasi ngeunaan kerentanan dina produkna. Kritikus nuduh Microsoft standar ganda sareng nyensor eusi anu dipikaresep ku komunitas panalungtikan kaamanan ngan saukur kusabab eusina ngabahayakeun kapentingan Microsoft. Numutkeun anggota tim Google Project Zero, prakték nyebarkeun prototipe eksploitasi diyakinkeun sareng kauntunganna langkung ageung résiko, sabab teu aya jalan pikeun ngabagi hasil panilitian sareng spesialis sanés tanpa inpormasi ieu murag kana panyerang.
Panaliti ti Kryptos Logic nyobian ngabantah, nunjukkeun yén dina kaayaan anu masih aya langkung ti 50 rébu server Microsoft Exchange anu teu diropéa dina jaringan, publikasi prototipe eksploitasi anu siap pikeun serangan sigana diragukeun. Karugian anu tiasa ditimbulkeun ku publikasi awal eksploitasi langkung ageung kauntungan pikeun panaliti kaamanan, sabab eksploitasi sapertos kitu ngungkabkeun sajumlah ageung server anu henteu acan diropéa.
Perwakilan GitHub ngoméntaran panyabutan éta salaku palanggaran Kabijakan Pamakéan Ditampa jasa sareng nyatakeun yén aranjeunna ngartos pentingna nyebarkeun prototipe eksploitasi pikeun tujuan panalungtikan sareng pendidikan, tapi ogé ngakuan bahaya karusakan anu tiasa disababkeun ku panyerang. Ku alatan éta, GitHub nyobian pikeun manggihan kasaimbangan optimal antara kapentingan komunitas panalungtikan kaamanan jeung panangtayungan calon korban. Dina hal ieu, publikasi hiji mangpaatkeun cocog pikeun ngalakonan serangan, disadiakeun aya sajumlah badag sistem anu teu acan diropéa, dianggap ngalanggar aturan GitHub.
Éta noteworthy yén serangan dimimitian dina Januari, lila saméméh sékrési fix jeung panyingkepan informasi ngeunaan ayana kerentanan (0-dinten). Sateuacan prototipe exploit diterbitkeun, sakitar 100 rébu server parantos diserang, anu dipasang backdoor pikeun kadali jauh.
Prototipe eksploitasi GitHub jauh nunjukkeun kerentanan CVE-2021-26855 (ProxyLogon), anu ngamungkinkeun data pangguna sawenang-wenang diekstrak tanpa auténtikasi. Nalika digabungkeun sareng CVE-2021-27065, kerentanan ogé ngamungkinkeun kode dieksekusi dina server anu gaduh hak administrator.
Henteu sadayana eksploitasi parantos dipupus; contona, versi saderhana tina eksploitasi sanés anu dikembangkeun ku tim GreyOrder masih tetep aya dina GitHub. Catetan eksploitasi nyatakeun yén eksploitasi GreyOrder asli dihapus saatos fungsionalitas tambahan ditambah kana kode pikeun ngitung pangguna dina server mail, anu tiasa dianggo pikeun ngalakukeun serangan massal ka perusahaan anu nganggo Microsoft Exchange.
sumber: opennet.ru