Microsoft imeondoa kutoka kwa GitHub msimbo (nakala) kwa kutumia mfano unaoonyesha kanuni ya utendakazi wa athari kubwa katika Microsoft Exchange. Kitendo hiki kilisababisha hasira kati ya watafiti wengi wa usalama, kwani mfano wa unyonyaji ulichapishwa baada ya kutolewa kwa kiraka, ambayo ni kawaida.
Sheria za GitHub zina kifungu kinachokataza uwekaji wa msimbo hasidi unaotumika au unyonyaji (yaani, mifumo ya watumiaji inayoshambulia) kwenye hazina, na vile vile utumiaji wa GitHub kama jukwaa la kuwasilisha matumizi mabaya na msimbo hasidi wakati wa mashambulizi. Lakini sheria hii haijatumika hapo awali kwa prototypes za msimbo zinazosimamiwa na watafiti zilizochapishwa ili kuchanganua mbinu za kushambulia baada ya mchuuzi kutoa kiraka.
Kwa kuwa msimbo kama huo kawaida hauondolewi, vitendo vya GitHub viligunduliwa kama Microsoft ikitumia rasilimali za usimamizi kuzuia habari kuhusu hatari katika bidhaa yake. Wakosoaji wameshutumu Microsoft kwa viwango viwili na kudhibiti maudhui yenye maslahi makubwa kwa jumuiya ya utafiti wa usalama kwa sababu tu maudhui hayo yanadhuru maslahi ya Microsoft. Kulingana na mshiriki wa timu ya Google Project Zero, zoezi la kuchapisha vielelezo vya unyonyaji ni sawa na manufaa yake ni makubwa kuliko hatari, kwa kuwa hakuna njia ya kushiriki matokeo ya utafiti na wataalamu wengine bila taarifa hii kuangukia mikononi mwa washambuliaji.
Mtafiti kutoka Kryptos Logic alijaribu kupinga, akisema kwamba katika hali ambayo bado kuna seva zaidi ya elfu 50 ambazo hazijasasishwa za Microsoft Exchange kwenye mtandao, uchapishaji wa prototypes tayari kwa mashambulizi inaonekana shaka. Madhara ambayo uchapishaji wa mapema wa ushujaa unaweza kusababisha yanazidi manufaa kwa watafiti wa usalama, kwa kuwa ushujaa kama huo hufichua idadi kubwa ya seva ambazo bado hazijasasishwa.
Wawakilishi wa GitHub walitoa maoni kuhusu uondoaji huo kuwa ni ukiukaji wa Sera za Matumizi Yanayokubalika ya huduma na wakasema kwamba wanaelewa umuhimu wa kuchapisha mifano ya unyanyasaji kwa madhumuni ya utafiti na elimu, lakini pia wanatambua hatari ya uharibifu ambao wanaweza kusababisha mikononi mwa washambuliaji. Kwa hivyo, GitHub inajaribu kupata uwiano bora kati ya maslahi ya jumuiya ya utafiti wa usalama na ulinzi wa waathiriwa wanaowezekana. Katika kesi hii, uchapishaji wa unyonyaji unaofaa kwa kufanya mashambulizi, mradi kuna idadi kubwa ya mifumo ambayo bado haijasasishwa, inachukuliwa kuwa inakiuka sheria za GitHub.
Ni vyema kutambua kwamba mashambulizi yalianza Januari, muda mrefu kabla ya kutolewa kwa kurekebisha na kufichuliwa kwa habari kuhusu kuwepo kwa hatari (0-siku). Kabla ya mfano wa unyonyaji kuchapishwa, karibu seva elfu 100 zilikuwa tayari zimeshambuliwa, ambapo mlango wa nyuma wa udhibiti wa mbali ulikuwa umewekwa.
Mfano wa utumiaji wa mbali wa GitHub ulionyesha athari ya CVE-2021-26855 (ProxyLogon), ambayo inaruhusu data ya mtumiaji kiholela kutolewa bila uthibitishaji. Ikiunganishwa na CVE-2021-27065, uwezekano wa kuathiriwa pia uliruhusu msimbo kutekelezwa kwenye seva yenye haki za msimamizi.
Sio ushujaa wote ambao umeondolewa; kwa mfano, toleo lililorahisishwa la matumizi mengine yaliyotengenezwa na timu ya GreyOrder bado linasalia kwenye GitHub. Ujumbe wa unyonyaji unasema kwamba matumizi ya awali ya GreyOrder yaliondolewa baada ya utendakazi wa ziada kuongezwa kwenye msimbo ili kuhesabu watumiaji kwenye seva ya barua, ambayo inaweza kutumika kutekeleza mashambulizi makubwa kwa makampuni yanayotumia Microsoft Exchange.
Chanzo: opennet.ru