Microsoft Exchangeలో క్లిష్టమైన దుర్బలత్వం యొక్క ఆపరేషన్ సూత్రాన్ని ప్రదర్శించే ప్రోటోటైప్ దోపిడీతో GitHub నుండి కోడ్ (కాపీ)ని Microsoft తీసివేసింది. ఈ చర్య చాలా మంది భద్రతా పరిశోధకులలో ఆగ్రహాన్ని కలిగించింది, ఎందుకంటే దోపిడీ యొక్క నమూనా ప్యాచ్ విడుదలైన తర్వాత ప్రచురించబడింది, ఇది సాధారణ అభ్యాసం.
GitHub నియమాలు రిపోజిటరీలలో క్రియాశీల హానికరమైన కోడ్ లేదా దోపిడీలను (అంటే, వినియోగదారు సిస్టమ్లపై దాడి చేసేవి) ఉంచడాన్ని నిషేధించే నిబంధనను కలిగి ఉంటాయి, అలాగే దాడుల సమయంలో దోపిడీలు మరియు హానికరమైన కోడ్లను అందించడానికి GitHubని ప్లాట్ఫారమ్గా ఉపయోగించడం. కానీ విక్రేత పాచ్ని విడుదల చేసిన తర్వాత దాడి పద్ధతులను విశ్లేషించడానికి ప్రచురించబడిన పరిశోధకుడు-హోస్ట్ చేసిన కోడ్ ప్రోటోటైప్లకు ఈ నియమం గతంలో వర్తించబడలేదు.
అటువంటి కోడ్ సాధారణంగా తీసివేయబడనందున, GitHub యొక్క చర్యలు మైక్రోసాఫ్ట్ దాని ఉత్పత్తిలో దుర్బలత్వం గురించి సమాచారాన్ని నిరోధించడానికి పరిపాలనా వనరులను ఉపయోగిస్తున్నట్లు గుర్తించబడింది. మైక్రోసాఫ్ట్ ద్వంద్వ ప్రమాణాలను కలిగి ఉందని మరియు భద్రతా పరిశోధన సంఘానికి అధిక ఆసక్తిని కలిగించే కంటెంట్ను సెన్సార్ చేసిందని విమర్శకులు ఆరోపించారు, ఎందుకంటే కంటెంట్ మైక్రోసాఫ్ట్ ప్రయోజనాలకు హాని కలిగిస్తుంది. Google Project Zero బృందంలోని సభ్యుని ప్రకారం, దోపిడీ ప్రోటోటైప్లను ప్రచురించే అభ్యాసం సమర్థించబడుతోంది మరియు ఈ సమాచారం దాడి చేసేవారి చేతుల్లోకి రాకుండా పరిశోధన ఫలితాలను ఇతర నిపుణులతో పంచుకోవడానికి మార్గం లేనందున ప్రయోజనం ప్రమాదం కంటే ఎక్కువగా ఉంటుంది.
క్రిప్టోస్ లాజిక్కి చెందిన ఒక పరిశోధకుడు అభ్యంతరం చెప్పడానికి ప్రయత్నించారు, నెట్వర్క్లో ఇంకా 50 వేలకు పైగా అప్డేట్ చేయని మైక్రోసాఫ్ట్ ఎక్స్ఛేంజ్ సర్వర్లు ఉన్న పరిస్థితిలో, దాడులకు సిద్ధంగా ఉన్న దోపిడీ నమూనాల ప్రచురణ సందేహాస్పదంగా కనిపిస్తోంది. దోపిడీలను ముందస్తుగా ప్రచురించడం వలన కలిగే హాని భద్రతా పరిశోధకుల ప్రయోజనాల కంటే ఎక్కువగా ఉంటుంది, ఎందుకంటే ఇటువంటి దోపిడీలు ఇంకా నవీకరించబడని పెద్ద సంఖ్యలో సర్వర్లను బహిర్గతం చేస్తాయి.
GitHub ప్రతినిధులు సేవ యొక్క ఆమోదయోగ్యమైన వినియోగ విధానాలను ఉల్లంఘించినట్లు తీసివేతపై వ్యాఖ్యానించారు మరియు పరిశోధన మరియు విద్యా ప్రయోజనాల కోసం దోపిడీ నమూనాలను ప్రచురించడం యొక్క ప్రాముఖ్యతను తాము అర్థం చేసుకున్నామని, అయితే దాడి చేసేవారి చేతుల్లో అవి కలిగించే నష్టాన్ని కూడా గుర్తించామని పేర్కొన్నారు. అందువల్ల, GitHub భద్రతా పరిశోధన సంఘం యొక్క ప్రయోజనాలకు మరియు సంభావ్య బాధితుల రక్షణకు మధ్య సరైన సమతుల్యతను కనుగొనడానికి ప్రయత్నిస్తోంది. ఈ సందర్భంలో, ఇంకా అప్డేట్ చేయని పెద్ద సంఖ్యలో సిస్టమ్లు ఉన్నట్లయితే, దాడులను నిర్వహించడానికి అనువైన దోపిడీని ప్రచురించడం GitHub నియమాలను ఉల్లంఘించినట్లు పరిగణించబడుతుంది.
దుర్బలత్వం (0-రోజు) ఉనికి గురించిన సమాచారాన్ని పరిష్కరించడం మరియు బహిర్గతం చేయడానికి చాలా కాలం ముందు, జనవరిలో దాడులు ప్రారంభించడం గమనార్హం. దోపిడీ ప్రోటోటైప్ ప్రచురించబడటానికి ముందు, సుమారు 100 వేల సర్వర్లు ఇప్పటికే దాడి చేయబడ్డాయి, దానిపై రిమోట్ కంట్రోల్ కోసం బ్యాక్డోర్ వ్యవస్థాపించబడింది.
రిమోట్ GitHub ఎక్స్ప్లోయిట్ ప్రోటోటైప్ CVE-2021-26855 (ProxyLogon) దుర్బలత్వాన్ని ప్రదర్శించింది, ఇది ప్రామాణీకరణ లేకుండా ఏకపక్ష వినియోగదారు యొక్క డేటాను సంగ్రహించడానికి అనుమతిస్తుంది. CVE-2021-27065తో కలిపినప్పుడు, దుర్బలత్వం కూడా అడ్మినిస్ట్రేటర్ హక్కులతో సర్వర్లో కోడ్ని అమలు చేయడానికి అనుమతించింది.
అన్ని దోపిడీలు తీసివేయబడలేదు; ఉదాహరణకు, GreyOrder బృందం అభివృద్ధి చేసిన మరొక దోపిడీ యొక్క సరళీకృత సంస్కరణ ఇప్పటికీ GitHubలో ఉంది. మెయిల్ సర్వర్లోని వినియోగదారులను లెక్కించడానికి కోడ్కు అదనపు కార్యాచరణ జోడించబడిన తర్వాత అసలు గ్రేఆర్డర్ దోపిడీ తీసివేయబడిందని ఎక్స్ప్లోయిట్ నోట్ పేర్కొంది, మైక్రోసాఫ్ట్ ఎక్స్ఛేంజ్ని ఉపయోగించే కంపెనీలపై భారీ దాడులు చేయడానికి ఇది ఉపయోగపడుతుంది.
మూలం: opennet.ru