مائیکروسافٹ نے گٹ ہب سے کوڈ (کاپی) کو ایک پروٹو ٹائپ ایکسپلائٹ کے ساتھ ہٹا دیا ہے جو مائیکروسافٹ ایکسچینج میں ایک اہم کمزوری کے آپریشن کے اصول کو ظاہر کرتا ہے۔ اس کارروائی نے بہت سے سیکورٹی محققین میں غم و غصے کا باعث بنا، کیونکہ اس استحصال کا پروٹو ٹائپ پیچ کی رہائی کے بعد شائع کیا گیا تھا، جو عام رواج ہے۔
GitHub کے قوانین میں ایک شق شامل ہے جس میں ریپوزٹریز میں فعال بدنیتی پر مبنی کوڈ یا استحصال (یعنی صارف کے نظام پر حملہ کرنے والے) کی جگہ کے ساتھ ساتھ حملوں کے دوران استحصال اور بدنیتی پر مبنی کوڈ فراہم کرنے کے لیے ایک پلیٹ فارم کے طور پر GitHub کے استعمال پر پابندی ہے۔ لیکن اس قاعدہ کو پہلے محقق کی میزبانی والے کوڈ پروٹو ٹائپس پر لاگو نہیں کیا گیا ہے جو کسی وینڈر کے پیچ جاری کرنے کے بعد حملے کے طریقوں کا تجزیہ کرنے کے لیے شائع کیا گیا ہے۔
چونکہ اس طرح کے کوڈ کو عام طور پر نہیں ہٹایا جاتا ہے، اس لیے گٹ ہب کی کارروائیوں کو مائیکروسافٹ کے انتظامی وسائل کا استعمال کرتے ہوئے اس کی مصنوعات میں کمزوری کے بارے میں معلومات کو روکنے کے لیے سمجھا جاتا ہے۔ ناقدین نے مائیکروسافٹ پر دوہرے معیار کا الزام لگایا ہے اور سیکیورٹی ریسرچ کمیونٹی کے لیے اعلیٰ دلچسپی کے مواد کو صرف اس لیے سنسر کیا ہے کہ یہ مواد مائیکروسافٹ کے مفادات کو نقصان پہنچاتا ہے۔ گوگل پروجیکٹ زیرو ٹیم کے ایک رکن کے مطابق، ایکسپلائٹ پروٹو ٹائپ شائع کرنے کا عمل جائز ہے اور فائدہ خطرے سے کہیں زیادہ ہے، کیونکہ یہ معلومات حملہ آوروں کے ہاتھ میں آنے کے بغیر تحقیق کے نتائج کو دوسرے ماہرین کے ساتھ شیئر کرنے کا کوئی طریقہ نہیں ہے۔
کرپٹوس لاجک کے ایک محقق نے اعتراض کرنے کی کوشش کی، اس بات کی نشاندہی کرتے ہوئے کہ ایسی صورت حال میں جہاں نیٹ ورک پر اب بھی 50 ہزار سے زیادہ اپ ڈیٹ شدہ مائیکروسافٹ ایکسچینج سرور موجود ہیں، حملوں کے لیے تیار ایکسپلائٹ پروٹو ٹائپس کی اشاعت مشکوک نظر آتی ہے۔ کارناموں کی ابتدائی اشاعت سے جو نقصان پہنچ سکتا ہے وہ سیکیورٹی محققین کے فائدے سے کہیں زیادہ ہے، کیونکہ اس طرح کے کارناموں سے سرورز کی ایک بڑی تعداد کو بے نقاب کیا جاتا ہے جنہیں ابھی تک اپ ڈیٹ نہیں کیا گیا ہے۔
GitHub کے نمائندوں نے سروس کی قابل قبول استعمال کی پالیسیوں کی خلاف ورزی کے طور پر ہٹائے جانے پر تبصرہ کیا اور کہا کہ وہ تحقیق اور تعلیمی مقاصد کے لیے ایکسپلائٹ پروٹو ٹائپس شائع کرنے کی اہمیت کو سمجھتے ہیں، لیکن وہ اس نقصان کے خطرے کو بھی پہچانتے ہیں جو وہ حملہ آوروں کے ہاتھوں ہو سکتے ہیں۔ لہذا، GitHub سیکورٹی ریسرچ کمیونٹی کے مفادات اور ممکنہ متاثرین کے تحفظ کے درمیان بہترین توازن تلاش کرنے کی کوشش کر رہا ہے۔ زیر غور کیس میں، حملے کرنے کے لیے موزوں کسی استحصال کی اشاعت، بشرطیکہ ایسے بہت سے نظام موجود ہوں جنہیں ابھی تک اپ ڈیٹ نہیں کیا گیا ہے، کو GitHub کے قوانین کی خلاف ورزی سمجھا جاتا ہے۔
یہ بات قابل ذکر ہے کہ حملے جنوری میں شروع ہوئے تھے، خطرے کی موجودگی (0 دن) کے بارے میں معلومات کے فکس اور انکشاف سے بہت پہلے۔ ایکسپلائٹ پروٹو ٹائپ شائع ہونے سے پہلے، تقریباً 100 ہزار سرورز پر حملہ ہو چکا تھا، جس پر ریموٹ کنٹرول کے لیے بیک ڈور نصب کیا گیا تھا۔
ایک ریموٹ GitHub ایکسپلائٹ پروٹو ٹائپ نے CVE-2021-26855 (ProxyLogon) کی کمزوری کا مظاہرہ کیا، جس کی مدد سے کسی صوابدیدی صارف کا ڈیٹا بغیر تصدیق کے نکالا جا سکتا ہے۔ CVE-2021-27065 کے ساتھ جوڑنے پر، کمزوری نے ایڈمنسٹریٹر کے حقوق کے ساتھ سرور پر کوڈ کو لاگو کرنے کی بھی اجازت دی۔
تمام کارناموں کو ہٹایا نہیں گیا ہے؛ مثال کے طور پر، GreyOrder ٹیم کے ذریعہ تیار کردہ ایک اور استحصال کا ایک آسان ورژن اب بھی GitHub پر موجود ہے۔ ایکسپلائٹ نوٹ میں کہا گیا ہے کہ میل سرور پر صارفین کی گنتی کرنے کے لیے کوڈ میں اضافی فعالیت شامل کیے جانے کے بعد اصل GreyOrder کے استحصال کو ہٹا دیا گیا تھا، جسے Microsoft Exchange استعمال کرنے والی کمپنیوں پر بڑے پیمانے پر حملے کرنے کے لیے استعمال کیا جا سکتا تھا۔
ماخذ: opennet.ru