GitHub నుండి Microsoft Exchange దోపిడీ ప్రోటోటైప్ తీసివేయబడిన తర్వాత Microsoft విమర్శిస్తుంది

Microsoft Exchangeలో క్లిష్టమైన దుర్బలత్వం యొక్క ఆపరేషన్ సూత్రాన్ని ప్రదర్శించే ప్రోటోటైప్ దోపిడీతో GitHub నుండి కోడ్ (కాపీ)ని Microsoft తీసివేసింది. ఈ చర్య చాలా మంది భద్రతా పరిశోధకులలో ఆగ్రహాన్ని కలిగించింది, ఎందుకంటే దోపిడీ యొక్క నమూనా ప్యాచ్ విడుదలైన తర్వాత ప్రచురించబడింది, ఇది సాధారణ అభ్యాసం.

GitHub నియమాలు రిపోజిటరీలలో క్రియాశీల హానికరమైన కోడ్ లేదా దోపిడీలను (అంటే, వినియోగదారు సిస్టమ్‌లపై దాడి చేసేవి) ఉంచడాన్ని నిషేధించే నిబంధనను కలిగి ఉంటాయి, అలాగే దాడుల సమయంలో దోపిడీలు మరియు హానికరమైన కోడ్‌లను అందించడానికి GitHubని ప్లాట్‌ఫారమ్‌గా ఉపయోగించడం. కానీ విక్రేత పాచ్‌ని విడుదల చేసిన తర్వాత దాడి పద్ధతులను విశ్లేషించడానికి ప్రచురించబడిన పరిశోధకుడు-హోస్ట్ చేసిన కోడ్ ప్రోటోటైప్‌లకు ఈ నియమం గతంలో వర్తించబడలేదు.

అటువంటి కోడ్ సాధారణంగా తీసివేయబడనందున, GitHub యొక్క చర్యలు మైక్రోసాఫ్ట్ దాని ఉత్పత్తిలో దుర్బలత్వం గురించి సమాచారాన్ని నిరోధించడానికి పరిపాలనా వనరులను ఉపయోగిస్తున్నట్లు గుర్తించబడింది. మైక్రోసాఫ్ట్ ద్వంద్వ ప్రమాణాలను కలిగి ఉందని మరియు భద్రతా పరిశోధన సంఘానికి అధిక ఆసక్తిని కలిగించే కంటెంట్‌ను సెన్సార్ చేసిందని విమర్శకులు ఆరోపించారు, ఎందుకంటే కంటెంట్ మైక్రోసాఫ్ట్ ప్రయోజనాలకు హాని కలిగిస్తుంది. Google Project Zero బృందంలోని సభ్యుని ప్రకారం, దోపిడీ ప్రోటోటైప్‌లను ప్రచురించే అభ్యాసం సమర్థించబడుతోంది మరియు ఈ సమాచారం దాడి చేసేవారి చేతుల్లోకి రాకుండా పరిశోధన ఫలితాలను ఇతర నిపుణులతో పంచుకోవడానికి మార్గం లేనందున ప్రయోజనం ప్రమాదం కంటే ఎక్కువగా ఉంటుంది.

క్రిప్టోస్ లాజిక్‌కి చెందిన ఒక పరిశోధకుడు అభ్యంతరం చెప్పడానికి ప్రయత్నించారు, నెట్‌వర్క్‌లో ఇంకా 50 వేలకు పైగా అప్‌డేట్ చేయని మైక్రోసాఫ్ట్ ఎక్స్ఛేంజ్ సర్వర్లు ఉన్న పరిస్థితిలో, దాడులకు సిద్ధంగా ఉన్న దోపిడీ నమూనాల ప్రచురణ సందేహాస్పదంగా కనిపిస్తోంది. దోపిడీలను ముందస్తుగా ప్రచురించడం వలన కలిగే హాని భద్రతా పరిశోధకుల ప్రయోజనాల కంటే ఎక్కువగా ఉంటుంది, ఎందుకంటే ఇటువంటి దోపిడీలు ఇంకా నవీకరించబడని పెద్ద సంఖ్యలో సర్వర్‌లను బహిర్గతం చేస్తాయి.

GitHub ప్రతినిధులు సేవ యొక్క ఆమోదయోగ్యమైన వినియోగ విధానాలను ఉల్లంఘించినట్లు తీసివేతపై వ్యాఖ్యానించారు మరియు పరిశోధన మరియు విద్యా ప్రయోజనాల కోసం దోపిడీ నమూనాలను ప్రచురించడం యొక్క ప్రాముఖ్యతను తాము అర్థం చేసుకున్నామని, అయితే దాడి చేసేవారి చేతుల్లో అవి కలిగించే నష్టాన్ని కూడా గుర్తించామని పేర్కొన్నారు. అందువల్ల, GitHub భద్రతా పరిశోధన సంఘం యొక్క ప్రయోజనాలకు మరియు సంభావ్య బాధితుల రక్షణకు మధ్య సరైన సమతుల్యతను కనుగొనడానికి ప్రయత్నిస్తోంది. ఈ సందర్భంలో, ఇంకా అప్‌డేట్ చేయని పెద్ద సంఖ్యలో సిస్టమ్‌లు ఉన్నట్లయితే, దాడులను నిర్వహించడానికి అనువైన దోపిడీని ప్రచురించడం GitHub నియమాలను ఉల్లంఘించినట్లు పరిగణించబడుతుంది.

దుర్బలత్వం (0-రోజు) ఉనికి గురించిన సమాచారాన్ని పరిష్కరించడం మరియు బహిర్గతం చేయడానికి చాలా కాలం ముందు, జనవరిలో దాడులు ప్రారంభించడం గమనార్హం. దోపిడీ ప్రోటోటైప్ ప్రచురించబడటానికి ముందు, సుమారు 100 వేల సర్వర్లు ఇప్పటికే దాడి చేయబడ్డాయి, దానిపై రిమోట్ కంట్రోల్ కోసం బ్యాక్‌డోర్ వ్యవస్థాపించబడింది.

రిమోట్ GitHub ఎక్స్‌ప్లోయిట్ ప్రోటోటైప్ CVE-2021-26855 (ProxyLogon) దుర్బలత్వాన్ని ప్రదర్శించింది, ఇది ప్రామాణీకరణ లేకుండా ఏకపక్ష వినియోగదారు యొక్క డేటాను సంగ్రహించడానికి అనుమతిస్తుంది. CVE-2021-27065తో కలిపినప్పుడు, దుర్బలత్వం కూడా అడ్మినిస్ట్రేటర్ హక్కులతో సర్వర్‌లో కోడ్‌ని అమలు చేయడానికి అనుమతించింది.

అన్ని దోపిడీలు తీసివేయబడలేదు; ఉదాహరణకు, GreyOrder బృందం అభివృద్ధి చేసిన మరొక దోపిడీ యొక్క సరళీకృత సంస్కరణ ఇప్పటికీ GitHubలో ఉంది. మెయిల్ సర్వర్‌లోని వినియోగదారులను లెక్కించడానికి కోడ్‌కు అదనపు కార్యాచరణ జోడించబడిన తర్వాత అసలు గ్రేఆర్డర్ దోపిడీ తీసివేయబడిందని ఎక్స్‌ప్లోయిట్ నోట్ పేర్కొంది, మైక్రోసాఫ్ట్ ఎక్స్‌ఛేంజ్‌ని ఉపయోగించే కంపెనీలపై భారీ దాడులు చేయడానికి ఇది ఉపయోగపడుతుంది.

మూలం: opennet.ru