Microsoft, Microsoft Exchange'deki kritik bir güvenlik açığının çalışma prensibini gösteren bir prototip istismarıyla kodu (kopyayı) GitHub'dan kaldırdı. Bu eylem birçok güvenlik araştırmacısı arasında öfkeye neden oldu, çünkü yaygın bir uygulama olan yamanın yayınlanmasından sonra istismarın prototipi yayınlandı.
GitHub kuralları, aktif kötü amaçlı kodların veya açıklardan yararlanmaların (yani kullanıcı sistemlerine saldıranların) depolara yerleştirilmesini ve ayrıca GitHub'un saldırılar sırasında açıklardan yararlanma ve kötü amaçlı kod dağıtmak için bir platform olarak kullanılmasını yasaklayan bir madde içerir. Ancak bu kural, bir satıcı bir yama yayınladıktan sonra saldırı yöntemlerini analiz etmek için yayınlanan, araştırmacı tarafından barındırılan kod prototiplerine daha önce uygulanmamıştı.
Bu tür kodlar genellikle kaldırılmadığından GitHub'ın eylemleri, Microsoft'un ürünündeki güvenlik açığıyla ilgili bilgileri engellemek için idari kaynakları kullanması olarak algılandı. Eleştirmenler, Microsoft'u çifte standartla ve güvenlik araştırma topluluğunun yüksek ilgisini çeken içeriği sırf Microsoft'un çıkarlarına zarar verdiği için sansürlemekle suçladı. Google Project Zero ekibinin bir üyesine göre, bu bilgiler saldırganların eline geçmeden araştırma sonuçlarını diğer uzmanlarla paylaşmanın bir yolu olmadığından, istismar prototiplerinin yayınlanması uygulaması haklıdır ve faydası riskten daha ağır basmaktadır.
Kryptos Logic'ten bir araştırmacı, ağda hala 50 binden fazla güncellenmemiş dosya bulunduğu bir duruma dikkat çekerek itiraz etmeye çalıştı. sunucular Microsoft Exchange'in saldırıya hazır güvenlik açığı prototiplerini yayınlaması tartışmalı görünüyor. Bu tür güvenlik açıklarının erken yayınlanmasının yol açabileceği zarar, güvenlik araştırmacıları için sağlayacağı faydadan daha ağır basıyor; zira bu tür açıklar henüz güncellenmemiş çok sayıda sunucuyu tehlikeye atıyor.
GitHub temsilcileri, kaldırma işlemini hizmetin Kabul Edilebilir Kullanım Politikalarının ihlali olarak yorumladı ve istismar prototiplerini araştırma ve eğitim amaçlı yayınlamanın önemini anladıklarını, ancak aynı zamanda saldırganların elinde neden olabilecekleri zarar tehlikesinin de farkında olduklarını belirtti. Bu nedenle GitHub, güvenlik araştırma topluluğunun çıkarları ile potansiyel kurbanların korunması arasında en uygun dengeyi bulmaya çalışıyor. Bu durumda, henüz güncellenmemiş çok sayıda sistem olması koşuluyla, saldırı gerçekleştirmeye uygun bir istismarın yayınlanmasının GitHub kurallarını ihlal ettiği kabul edilir.
Saldırıların, düzeltmenin yayınlanmasından ve güvenlik açığının varlığına ilişkin bilgilerin açıklanmasından (0 gün) çok önce, Ocak ayında başlaması dikkat çekicidir. Açıklardan yararlanma prototipi yayınlanmadan önce, uzaktan kontrol için bir arka kapının kurulduğu yaklaşık 100 bin sunucuya saldırı yapılmıştı.
GitHub'dan kaldırılan bir prototip istismar, kimlik doğrulaması olmadan rastgele kullanıcı verilerinin çıkarılmasına olanak tanıyan CVE-2021-26855 (ProxyLogon) güvenlik açığını ortaya koymuştur. Bu güvenlik açığı, CVE-2021-27065 ile birlikte kullanıldığında kod yürütülmesine de olanak sağlamaktadır. sunucu yönetici haklarıyla.
Açıkların tümü kaldırılmadı; örneğin, GreyOrder ekibi tarafından geliştirilen başka bir açıktan yararlanmanın basitleştirilmiş bir versiyonu hala GitHub'da duruyor. Yararlanma notu, orijinal GreyOrder istismarının, posta sunucusundaki kullanıcıları numaralandırmak için koda ek işlevsellik eklendikten sonra kaldırıldığını ve bunun Microsoft Exchange kullanan şirketlere toplu saldırılar gerçekleştirmek için kullanılabileceğini belirtiyor.
Kaynak: opennet.ru
