Microsoft-ek kritikak jasotzen ditu Github-en Exchange xploit-etik kodea kendu ondoren

Duela egun gutxi Microsoftek kritika gogorrak jaso zituen garatzaile askoren eskutik ondoren GitHub-en kodea ezabatu Exchange xploit-etik Eta askorentzat logikoena litzatekeen arren, benetako arazoa da adabakitako ahultasunetarako PoC xplots bat zela, segurtasun ikertzaileen artean estandar gisa erabiltzen direnak.

Horiek erasoak nola funtzionatzen duten ulertzen laguntzen diete, defentsa hobeak eraiki ahal izateko. Ekintza honek segurtasuneko ikertzaile asko sumindu ditu, esplotazioaren prototipoa adabakia askatu ondoren askatu baita, ohiko praktika da.

GitHub arauetan kode maltzurra jartzea debekatzen duen klausula dago aktiboak edo ustiatzeak (hau da, erabiltzaileen sistemak erasotzea) biltegietan, baita GitHub-en erabilera ere, erasoen garaian ustiapenak eta kode kaltegarriak emateko plataforma gisa.

Hala ere, aurrez arau hau ez zaie prototipoei aplikatu. ikertzaileek argitaratutako kodearen saltzaileek adabaki bat kaleratu ondoren eraso metodoak aztertzeko argitaratu direnak.

Kode hori normalean ez denez kentzen, Microsoftek GitHub akzioak hauteman zituen baliabide administratibo bat erabiltzea bezala zure produktuaren ahultasunari buruzko informazioa blokeatzeko.

Kritikek Microsoft salatu dute maila bikoitza edukitzeko eta edukia zentsuratzeko interes handia du segurtasuna ikertzeko komunitatearentzat edukia Microsoften interesen kalterako delako.

Google Project Zero taldeko kide baten arabera, ustiatzeko prototipoak argitaratzeko praktika justifikatuta dago, eta onurak arriskua baino handiagoa da, ikerketen emaitzak beste espezialistekin partekatzeko modurik ez dagoelako informazio hori eskuetan erori ez dadin. erasotzaileena.

Ikerlari bat Kryptos Logic eztabaidatzen saiatu zen, nabarmendu du sarean Microsoft Exchange zerbitzari zaharkituak baino 50 mila baino zaharragoak diren egoeran, Erasoak egiteko prest dauden prototipo esplotatuak argitaratzea zalantzazkoa dela dirudi.

Baliabide goiztiarrak sor ditzakeen kalteak segurtasuneko ikertzaileentzako onura baino handiagoa da, baliaezintasun horiek eguneratzerik instalatu ez duten zerbitzari ugari arriskuan jartzen baitute.

GitHub-eko ordezkariek kentzeari buruzko iruzkina egin dute arau hauste gisa zerbitzuaren (Erabilera Politika Onargarriak) eta esan zuten ulertzen dutela ustiatzeko prototipoak hezkuntza eta ikerketa helburuetarako argitaratzearen garrantzia, baina ulertzen dutela erasotzaileen eskuetan sor ditzaketen kalteak sortzen dituzten arriskua ere.

Hori dela eta, GitHub interesen arteko oreka optimoa bilatzen saiatzen da komunitatearen segurtasuna eta biktima potentzialak babesteko ikerketa. Kasu honetan, erasoetarako egokia den ustiaketa argitaratzeak, oraindik eguneratu ez diren sistema ugari daudenean, GitHub arauak urratzen dituela ikusi zen.

Nabarmentzekoa da erasoak urtarrilean hasi zirela, adabakia askatu baino lehen eta ahultasunari buruzko informazioa eman aurretik (0 eguna). Ustiapenaren prototipoa argitaratu aurretik, 100 zerbitzari inguru eraso zituzten dagoeneko, eta bertan urruneko kontrolerako atzeko atea instalatu zen.

Urruneko GitHub ustiapeneko prototipo batean, CVE-2021-26855 (ProxyLogon) ahultasuna frogatu zen, erabiltzaile arbitrario baten datuak autentifikaziorik gabe ateratzeko aukera emanez. CVE-2021-27065arekin batera, zaurgarritasunak zure kodea zerbitzarian administratzaile eskubideekin exekutatzeko aukera ere eman dizu.

Ez dira ustiapen guztiak kendu, adibidez, GreyOrder taldeak garatutako beste ustiapen baten bertsio sinplifikatua GitHub-en geratzen da.

Ustiatzeko ohar batek adierazten du jatorrizko GreyOrder ustiapena kendu egin zela posta zerbitzarian erabiltzaileak zerrendatzeko kodean funtzionalitate gehigarriak gehitu ondoren, Microsoft Exchange erabiltzen duten enpresen aurkako eraso masiboak egiteko erabil zitezkeela.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.