Microsoft ti yọkuro lati GitHub koodu naa (daakọ) pẹlu iṣamulo afọwọṣe ti n ṣe afihan ilana ti iṣiṣẹ ti ailagbara pataki ni Exchange Microsoft. Iṣe yii fa ibinu laarin ọpọlọpọ awọn oniwadi aabo, bi apẹrẹ ti ilokulo ti a tẹjade lẹhin itusilẹ ti alemo, eyiti o jẹ iṣe ti o wọpọ.
Awọn ofin GitHub ni gbolohun kan ti o ni idinamọ gbigbe koodu irira ti nṣiṣe lọwọ tabi awọn ilokulo (ie, awọn eto olumulo ti o kọlu) ni awọn ibi ipamọ, bakanna bi lilo GitHub gẹgẹbi pẹpẹ fun jiṣẹ awọn ilokulo ati koodu irira lakoko awọn ikọlu. Ṣugbọn ofin yii ko ti lo tẹlẹ si awọn apẹẹrẹ koodu ti gbalejo ti oniwadi ti a tẹjade lati ṣe itupalẹ awọn ọna ikọlu lẹhin ti olutaja kan ṣe idasilẹ alemo kan.
Niwọn igba ti iru koodu bẹẹ ko nigbagbogbo yọkuro, awọn iṣe GitHub ni a ṣe akiyesi bi Microsoft ti nlo awọn orisun iṣakoso lati dènà alaye nipa ailagbara ninu ọja rẹ. Awọn alariwisi ti fi ẹsun kan Microsoft ti awọn iṣedede ilọpo meji ati akoonu ihamon ti iwulo giga si agbegbe iwadii aabo lasan nitori akoonu naa ba awọn ire Microsoft jẹ. Gẹgẹbi ọmọ ẹgbẹ kan ti ẹgbẹ Google Project Zero, iṣe ti titẹjade awọn apẹẹrẹ ilokulo jẹ idalare ati pe anfani naa ju eewu naa lọ, nitori ko si ọna lati pin awọn abajade iwadii pẹlu awọn alamọja miiran laisi alaye yii ṣubu si ọwọ awọn ikọlu.
Oluwadi kan lati Kryptos Logic gbiyanju lati tako, o tọka si pe ni ipo kan nibiti o tun wa diẹ sii ju 50 ẹgbẹrun awọn olupin Microsoft Exchange ti ko ni imudojuiwọn lori nẹtiwọọki, atẹjade ti awọn ilana iṣamulo ti o ṣetan fun awọn ikọlu dabi iyemeji. Ipalara ti atẹjade ni kutukutu ti awọn ilokulo le fa ju anfani lọ fun awọn oniwadi aabo, niwọn bi iru awọn ilokulo ṣe afihan nọmba nla ti awọn olupin ti ko ti ni imudojuiwọn.
Awọn aṣoju GitHub ṣalaye lori yiyọ kuro bi ilodi si Awọn ilana Lilo Itẹwọgba iṣẹ naa ati sọ pe wọn loye pataki ti atẹjade awọn apẹrẹ ilokulo fun iwadii ati awọn idi eto-ẹkọ, ṣugbọn tun ṣe idanimọ eewu ibajẹ ti wọn le fa ni ọwọ awọn ikọlu. Nitorinaa, GitHub n gbiyanju lati wa iwọntunwọnsi ti o dara julọ laarin awọn iwulo ti agbegbe iwadii aabo ati aabo awọn olufaragba ti o pọju. Ni ọran yii, atẹjade ilokulo ti o yẹ fun gbigbe awọn ikọlu, ti o ba jẹ pe nọmba nla ti awọn ọna ṣiṣe ti ko ti ni imudojuiwọn, ni a gba pe o ṣẹ awọn ofin GitHub.
O jẹ akiyesi pe awọn ikọlu bẹrẹ ni Oṣu Kini, pipẹ ṣaaju itusilẹ ti atunṣe ati sisọ alaye nipa wiwa ti ailagbara (0-ọjọ). Ṣaaju ki o to tẹjade afọwọṣe ilokulo, nipa 100 ẹgbẹrun awọn olupin ti tẹlẹ ti kolu, lori eyiti a ti fi sii ẹnu-ọna ẹhin fun isakoṣo latọna jijin.
Afọwọṣe ilokulo GitHub latọna jijin ṣe afihan ailagbara CVE-2021-26855 (ProxyLogon), eyiti o fun laaye data ti olumulo lainidii lati fa jade laisi ijẹrisi. Nigbati a ba ni idapo pẹlu CVE-2021-27065, ailagbara tun gba koodu laaye lati ṣiṣẹ lori olupin pẹlu awọn ẹtọ oludari.
Kii ṣe gbogbo awọn iṣamulo ti yọkuro; fun apẹẹrẹ, ẹya irọrun ti ilokulo miiran ti o dagbasoke nipasẹ ẹgbẹ GreyOrder ṣi wa lori GitHub. Akọsilẹ ilokulo naa sọ pe ilokulo atilẹba GreyOrder ti yọkuro lẹhin iṣẹ ṣiṣe afikun si koodu lati ṣe ikawe awọn olumulo lori olupin meeli, eyiti o le ṣee lo lati gbe awọn ikọlu ọpọ eniyan sori awọn ile-iṣẹ nipa lilo Microsoft Exchange.
orisun: opennet.ru