Microsoft кодро (нусхаро) аз GitHub бо истисмори прототипӣ, ки принсипи осебпазирии муҳимро дар Microsoft Exchange нишон медиҳад, хориҷ кард. Чунин амал хашми бисёре аз пажӯҳишгарони амниятро ба бор овард, зеро прототипи истисмор пас аз нашри патч нашр шуд, ки ин як таҷрибаи маъмулист.
Дар қоидаҳои GitHub банд мавҷуд аст, ки ҷойгиркунии рамзи фаъоли зараровар ё истисмор (яъне ҳамла ба системаҳои корбар) дар анборҳо, инчунин истифодаи GitHub-ро ҳамчун платформа барои интиқоли истисморҳо ва нармафзори зараровар ҳангоми интиқол манъ мекунад. ҳамлаҳои берун. Аммо ин қоида қаблан ба прототипҳои кодҳое, ки аз ҷониби муҳаққиқон ҷойгир шудаанд, барои таҳлили усулҳои ҳамла пас аз баровардани патч аз ҷониби фурӯшанда нашр шуда буданд, татбиқ нашуда буд.
Азбаски чунин рамз одатан нест карда намешавад, амалҳои GitHub ҳамчун истифодаи Microsoft аз манбаи маъмурӣ барои бастани маълумот дар бораи осебпазирии маҳсулоташ қабул карда шуданд. Мунаққидон Microsoft-ро ба стандартҳои дугона ва сензура кардани мундариҷае, ки ҷомеаи пажӯҳишҳои амниятӣ таваҷҷӯҳи зиёд доранд, танҳо аз он сабаб айбдор мекунанд, ки мундариҷа ба манфиатҳои Microsoft зарар мерасонад. Ба гуфтаи як узви гурӯҳи Google Project Zero, таҷрибаи нашри прототипҳои эксплоит асоснок аст ва фоидаҳо аз хатарҳо зиёдтаранд, зеро ҳеҷ роҳе барои мубодилаи натиҷаҳои тадқиқот бо дигар мутахассисон вуҷуд надорад, ки ин маълумот ба дасти ҳамлагарон наафтад.
Як муҳаққиқ аз Kryptos Logic кӯшиш кард, ки эътироз кунад ва қайд кард, ки дар вазъияте, ки дар шабака то ҳол зиёда аз 50 серверҳои Microsoft Exchange навсозӣ нашудаанд, нашри прототипҳои истисмор омода барои ҳамлаҳо шубҳанок ба назар мерасад. Зараре, ки интишори барвақти истисморҳо метавонад ба муҳаққиқони амният оварда расонад, аз фоидаи муҳаққиқони амният зиёдтар аст, зеро ин гуна эксплойтҳо шумораи зиёди серверҳоеро, ки ҳанӯз барои насб кардани навсозиҳо фурсат наёфтаанд, зери хатар мегузорад.
Намояндагони GitHub ҳазфро ҳамчун вайрон кардани шартҳои хидмат (Сиёсатҳои қобили қабул) шарҳ доданд ва изҳор доштанд, ки онҳо аҳамияти нашри прототипҳои истисморро барои мақсадҳои тадқиқотӣ ва таълимӣ дарк мекунанд, аммо инчунин хатари зарареро, ки онҳо метавонанд дар ҷараёни кор оварда метавонанд, эътироф мекунанд. дасти ҳамлагарон. Аз ин рӯ, GitHub кӯшиш мекунад, ки тавозуни оптималии байни манфиатҳои ҷомеаи тадқиқотии амният ва ҳифзи қурбониёни эҳтимолиро пайдо кунад. Дар ин ҳолат, нашри истисморе, ки барои анҷом додани ҳамла мувофиқ аст, ба шарте ки шумораи зиёди системаҳое, ки ҳанӯз нав карда нашудаанд, вайрон кардани қоидаҳои GitHub эътироф карда мешавад.
Қобили зикр аст, ки ҳамлаҳо дар моҳи январ, хеле пеш аз нашри патч ва ифшои маълумот дар бораи мавҷудияти осебпазирӣ (0-рӯз) оғоз шуданд. Пеш аз нашри прототипи эксплоит, аллакай тақрибан 100 ҳазор серверҳо мавриди ҳамла қарор гирифтанд, ки дар он пушти дари идоракунии дурдаст насб карда шуда буд.
Прототипи истисмори дурдасти GitHub осебпазирии CVE-2021-26855 (ProxyLogon)-ро намоиш дод, ки имкон медиҳад маълумоти худсаронаи корбарро бидуни аутентификатсия истихроҷ кунад. Дар якҷоягӣ бо CVE-2021-27065, осебпазирӣ инчунин имкон дод, ки код дар сервери дорои имтиёзҳои маъмурӣ иҷро карда шавад.
На ҳама истисморҳо хориҷ карда шудаанд, масалан, версияи соддакардашудаи эксплоити дигаре, ки дастаи GreyOrder таҳия кардааст, дар GitHub боқӣ мемонад. Дар ёддошти истисмор гуфта мешавад, ки эксплоити аслии GreyOrder пас аз илова кардани функсияҳои иловагӣ ба код, ки корбаронро дар сервери почта номбар мекунад, ки метавонад барои оғози ҳамлаҳои оммавӣ ба ширкатҳое, ки аз Microsoft Exchange истифода мебаранд, истифода шавад, хориҷ карда шуд.
Манбаъ: opennet.ru