Microsoft корпорациясы Github-тағы Exchange xploit-тен кодты жойғаннан кейін сын алады

Бірнеше күн бұрын Майкрософтқа бірқатар қатаң сындар айтылды көптеген әзірлеушілер кейін GitHub кодын Exchange xploit-тен жойыңыз Көптеген адамдар үшін бұл ең қисынды болар еді, дегенмен, шынымен де, бұл қауіпсіздік зерттеушілері арасында стандарт ретінде пайдаланылатын жамылған осалдықтарға арналған PoC xplots болды.

Бұл шабуылдардың қалай жақсы жұмыс істейтінін түсінуге көмектеседі, осылайша олар жақсы қорғаныс құра алады. Бұл әрекет көптеген қауіпсіздік зерттеушілерін ашуландырды, өйткені эксплуатациялық прототип патч шыққаннан кейін шығарылды, бұл әдеттегі тәжірибе.

GitHub ережелерінде зиянды кодты орналастыруға тыйым салатын тармақ бар репозитарийлердегі белсенді немесе эксплуатация (яғни пайдаланушылардың жүйелеріне шабуыл жасау), сондай-ақ шабуылдар кезінде эксплойттар мен зиянды кодтарды жеткізу үшін платформа ретінде GitHub пайдалану.

Алайда бұл ереже прототиптерге бұрын қолданылмаған. зерттеушілер жариялаған код Сатушы патчты шығарғаннан кейін шабуыл әдістерін талдау үшін жарияланған.

Мұндай код әдетте жойылмағандықтан, Microsoft GitHub акцияларын қабылдады әкімшілік ресурсты пайдалану сияқты өнімнің осалдығы туралы ақпаратты бұғаттау үшін.

Сыншылар Microsoft корпорациясын айыптады қос стандартты болу және мазмұнды цензуралау үшін қауіпсіздікті зерттеу қауымдастығы үшін үлкен қызығушылық тудырады, себебі бұл мазмұн Microsoft корпорациясының мүдделеріне зиян тигізеді.

Google Project Zero командасының мүшесінің айтуынша, эксплуатациялық прототиптерді жариялау тәжірибесі негізделген және оның пайдасы қауіптен басым, өйткені зерттеу нәтижелерін басқа мамандармен бөлісудің ешқандай мүмкіндігі жоқ, бұл ақпарат қолына түспеуі керек шабуылдаушылар.

Зерттеуші Kryptos Logic дауласуға тырысты, желіде әлі 50 мыңнан астам ескірген Microsoft Exchange серверлері бар жағдайда, шабуыл жасауға дайын эксплуатациялық прототиптерді жариялау күмәнді болып көрінеді.

Ерекше эксплуатацияларды мерзімінен бұрын босатудың зияны қауіпсіздік зерттеушілерінің пайдасынан гөрі көп, өйткені мұндай эксплуатация көптеген жаңартуларды орнатпаған серверлерге қауіп төндіреді.

GitHub өкілдері ережені бұзу ретінде жою туралы түсініктеме берді Сервистің (Қолданудың қолайлы саясаты) және эксплуатациялық прототиптерді білім беру және зерттеу мақсатында жариялаудың маңыздылығын түсінетіндіктерін, сонымен бірге шабуылдаушылардың қолынан келетін зиянның қауіптілігін түсінетіндіктерін айтты.

Сондықтан, GitHub мүдделер арасындағы оңтайлы тепе-теңдікті табуға тырысады қоғамдастық қауіпсіздік пен ықтимал құрбандарды қорғауды тергеу. Бұл жағдайда әлі де жаңартылмаған көптеген жүйелер болған жағдайда шабуылдарға қолайлы эксплуатацияны жариялау GitHub ережелерін бұзатындығы анықталды.

Шабуылдардың патч шығарылғанға дейін және осалдық туралы ақпарат ашылғанға дейін (0-күн) қаңтарда басталғаны назар аудартады. Эксплоиттың прототипі жарияланғанға дейін 100-ға жуық серверге шабуыл жасалды, онда қашықтан басқаруға арналған артқы есік орнатылды.

Қашықтағы GitHub эксплуатациялық прототипінде CVE-2021-26855 (ProxyLogon) осалдығы көрсетіліп, ерікті пайдаланушыдан аутентификациясыз деректерді алуға мүмкіндік береді. CVE-2021-27065-пен үйлескенде, осалдық сізге кодты серверде әкімші құқығымен басқаруға мүмкіндік берді.

Барлық ерліктер жойылған жоқ, мысалы, GreyOrder командасы әзірлеген басқа эксплуатацияның жеңілдетілген нұсқасы GitHub-да қалады.

Эксплуатация туралы ескертпе GreyOrder эксплуатациясы Microsoft Exchange пайдаланатын компанияларға қарсы жаппай шабуылдар жасау үшін пайдаланылатын пошта серверіндегі пайдаланушылар тізімі үшін кодқа қосымша функционалдылық енгізілгеннен кейін жойылғанын көрсетеді.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.