Microsoft GitHub’dan Microsoft Exchange’dagi muhim zaiflikning ishlash tamoyilini ko‘rsatuvchi ekspluatatsiya prototipiga ega kodni (nusxasini) olib tashladi. Ushbu harakat ko'plab xavfsizlik tadqiqotchilarining noroziligiga sabab bo'ldi, chunki ekspluatatsiya prototipi keng tarqalgan amaliyot bo'lgan yamoq chiqarilgandan keyin nashr etilgan.
GitHub qoidalari faol zararli kodlar yoki ekspluatatsiyalarni (ya'ni, foydalanuvchi tizimlariga hujum qiluvchilar) omborlarga joylashtirishni, shuningdek, hujumlar paytida ekspluatatsiyalar va zararli kodlarni yetkazib berish platformasi sifatida GitHub-dan foydalanishni taqiqlovchi bandni o'z ichiga oladi. Ammo bu qoida ilgari sotuvchi patch chiqargandan so'ng hujum usullarini tahlil qilish uchun nashr etilgan tadqiqotchilar tomonidan joylashtirilgan kod prototiplariga nisbatan qo'llanilmagan.
Bunday kod odatda olib tashlanmaganligi sababli, GitHubning xatti-harakatlari Microsoft o'z mahsulotidagi zaiflik haqidagi ma'lumotlarni bloklash uchun ma'muriy resurslardan foydalanganidek qabul qilindi. Tanqidchilar Microsoftni ikki tomonlama standartlarda va xavfsizlik bo'yicha tadqiqot hamjamiyatini qiziqtirgan kontentni tsenzura qilishda ayblashdi, chunki kontent Microsoft manfaatlariga zarar yetkazadi. Google Project Zero jamoasi aʼzosining soʻzlariga koʻra, ekspluatatsiya prototiplarini nashr etish amaliyoti oʻzini oqlaydi va foyda xavfdan ustundir, chunki tadqiqot natijalarini boshqa mutaxassislar bilan baham koʻrishning imkoni yoʻq, bu maʼlumotlar tajovuzkorlar qoʻliga tushmaydi.
Kryptos Logic tadqiqotchisi e'tiroz bildirishga urinib, tarmoqda hali ham 50 mingdan ortiq yangilanmagan Microsoft Exchange serverlari mavjud bo'lsa, hujumlarga tayyor ekspluatatsiya prototiplarini nashr etish shubhali ko'rinishini ta'kidladi. Ekspluatatsiyalarni erta nashr etishning zarari xavfsizlik tadqiqotchilari uchun foydadan ustundir, chunki bunday ekspluatatsiyalar hali yangilanmagan ko'plab serverlarni fosh qiladi.
GitHub vakillari olib tashlashni xizmatning Qabul qilinadigan foydalanish siyosatining buzilishi sifatida izohladilar va tadqiqot va ta'lim maqsadlarida ekspluatatsiya prototiplarini nashr etish muhimligini tushunishlarini, shuningdek, ular tajovuzkorlar qo'lida etkazilishi mumkin bo'lgan zarar xavfini tan olishlarini ta'kidladilar. Shu sababli, GitHub xavfsizlik tadqiqot hamjamiyatining manfaatlari va potentsial qurbonlarni himoya qilish o'rtasidagi optimal muvozanatni topishga harakat qilmoqda. Bunday holda, hali yangilanmagan ko'p sonli tizimlar mavjud bo'lsa, hujumlarni amalga oshirish uchun mos ekspluatning nashr etilishi GitHub qoidalarini buzish hisoblanadi.
Shunisi e'tiborga loyiqki, hujumlar yanvar oyida, tuzatishlar chiqarilishidan va zaiflik mavjudligi haqidagi ma'lumotlar oshkor etilishidan ancha oldin boshlangan (0 kun). Exploit prototipi nashr etilishidan oldin 100 mingga yaqin serverlar hujumga uchragan, ularda masofadan boshqarish uchun orqa eshik o'rnatilgan edi.
Masofaviy GitHub ekspluatatsiyasi prototipi CVE-2021-26855 (ProxyLogon) zaifligini namoyish etdi, bu o'zboshimchalik bilan foydalanuvchining ma'lumotlarini autentifikatsiyasiz chiqarib olish imkonini beradi. CVE-2021-27065 bilan birlashganda, zaiflik administrator huquqlariga ega serverda kodni bajarishga ham imkon berdi.
Barcha ekspluatatsiyalar oʻchirilmagan; masalan, GreyOrder jamoasi tomonidan ishlab chiqilgan boshqa ekspluatatsiyaning soddalashtirilgan versiyasi hali ham GitHub’da qolmoqda. Ekspluit qaydnomasida qayd etilishicha, GreyOrderning asl ekspluati kodga pochta serveridagi foydalanuvchilarni sanab o‘tish uchun qo‘shimcha funksiya qo‘shilgandan so‘ng o‘chirilgan, undan Microsoft Exchange’dan foydalanadigan kompaniyalarga ommaviy hujumlar uyushtirish mumkin.
Manba: opennet.ru