Nahazo tsikera i Microsoft rehefa avy nanala kaody avy amin'ny xploit Exchange ao amin'ny Github

Andro vitsy lasa izay Nahazo tsikera mahery vaika i Microsoft ataon'ny mpamorona maro aorian'ny amin'ny GitHub, hamafa ny kaody avy amin'ny xploit Exchange Ary na dia ho an'ny maro aza no mety ho lojika indrindra, na dia ny tena olana aza dia ny xplots PoC ho an'ny marefo marefo, izay ampiasaina ho toy ny fenitra eo amin'ireo mpikaroka fiarovana.

Manampy azy ireo hahatakatra ny fomba fiasan'ny fanafihana izany hahafahan'izy ireo manangana fiarovana tsaratsara kokoa. Nahatezitra ireo mpikaroka fiarovana maro ity hetsika ity, satria navoaka ny prototypa exploit taorian'ny namoahana ilay patch, izay fanao mahazatra.

Misy fehezan-dalàna ao amin'ny fitsipiky GitHub izay mandrara ny fametrahana kaody manimba mavitrika na fitrandrahana (izany hoe manafika ny rafitry ny mpampiasa) ao amin'ny trano fitehirizana, ary koa ny fampiasana GitHub ho sehatra iray hanaterana ireo fitrandrahana sy kaody manimba mandritra ny fanafihana.

Na izany aza, io lalàna io dia tsy mbola nampiharina tamin'ny prototypes. kaody navoakan'ny mpikaroka izay navoaka mba hamakafaka ireo fomba fanafihana taorian'ny namoahan'ny mpivarotra patch.

Satria tsy esorina ny kaody toy izany amin'ny ankapobeny, Nahatsapa ny fizarana GitHub i Microsoft toy ny fampiasana loharanom-pahalalana hanakanana ny fampahalalana momba ny fahalemen'ny vokatrao.

Niampanga an'i Microsoft ireo mpitsikera hanana fenitra roa sosona sy hanivana ny atiny tena mahaliana ny vondrom-pikarohana fikarohana fiarovana satria manimba ny tombontsoan'ny Microsoft ny atiny.

Raha ny filazan'ny mpikambana iray ao amin'ny ekipa Google Project Zero dia mitombina ny fampiharana ny prototypes exploite, ary ny tombony dia lehibe noho ny risika, satria tsy misy fomba hizarana ny valin'ny fikarohana amin'ireo manam-pahaizana manokana mba tsy hianjera eo an-tànana an'ny mpanafika.

Mpanadihady Kryptos Logic dia nanandrana niady hevitra, nanondro fa amin'ny toe-javatra izay mbola misy mihoatra ny 50 arivo ireo mpizara Microsoft Exchange lany andro ao amin'ny tambajotra, ny famoahana ireo prototypes mitrandraka izay vonona hanao fanafihana dia toa mampiahiahy.

Ny loza ateraky ny famoahana aloha ny fitrandrahana dia mety hihoatra ny tombony ho an'ny mpikaroka fiarovana, satria ny fitrandrahana toy izany dia tandindomin-doza ny lozisialy marobe izay mbola tsy nasiana fanavaozana.

GitHub reps dia naneho hevitra momba ny fanesorana ho fanitsakitsahana lalàna an'ny serivisy (Policies azo ampiasaina azo ekena) ary nilaza fa azon'izy ireo ny maha-zava-dehibe ny famoahana ireo prototypes hitrandrahana ho an'ny tanjona ara-panabeazana sy fikarohana, nefa koa azon'izy ireo koa ny loza ateraky ny fahavoazana mety haterak'ireo mpanafika.

Noho izany, GitHub dia manandrana mitady ny fandanjana antonony indrindra eo amin'ny fahalianana ny fiaraha-monina fanadihadiana momba ny filaminana sy ny fiarovana ireo mety ho traboina. Amin'ity tranga ity dia hita fa ny famoahana fanararaotana mety amin'ny fanafihana, raha mbola betsaka ny rafitra mbola tsy nohavaozina, dia manitsakitsaka ny lalàn'i GitHub.

Marihina fa nanomboka ny fanafihana tamin'ny volana Janoary, talohan'ny famoahana ny patch sy ny famoahana vaovao momba ny marefo (andro 0). Talohan'ny namoahana ny prototype an'ny exploit, mpizara 100 sahady no efa notafihana, izay nametrahana varavarana ambadiky ny fanaraha-maso lavitra.

Ao amin'ny prototype mitrandraka GitHub lavitra dia naseho ny faharefoana CVE-2021-26855 (ProxyLogon), ahafahanao mamoaka angona avy amin'ny mpampiasa arbitra tsy misy fanamarinana. Miaraka amin'ny CVE-2021-27065, ny faharefoana dia namela anao ihany koa hitantana ny kaodinao amin'ny mpizara miaraka amin'ny zon'ny mpandrindra.

Tsy nesorina avokoa ny fitrandrahana rehetra, ohatra, ny kinova tsotsotra an'ny fanararaotana iray hafa novolavolain'ny ekipa GreyOrder dia mijanona ao amin'ny GitHub.

Fanamarihana iray amin'ny fitrandrahana dia manondro fa ny fitrandrahana GreyOrder tany am-boalohany dia nesorina taorian'ny nanampiana fampiasa fanampiny ho an'ny kaody lisitra ireo mpampiasa ao amin'ny mpizara mailaka, izay azo ampiasaina hanatanterahana fanafihana goavana amin'ireo orinasa mampiasa Microsoft Exchange.


Ny atin'ny lahatsoratra dia manaraka ny fitsipiky ny etika fanonta. Raha hitatitra tsindry diso eto.

Aoka ho voalohany ny fanehoan-kevitra

Avelao ny hevitrao

Ny adiresy email dia tsy ho namoaka. Mitaky saha dia marika amin'ny *

*

*

  1. Tompon'andraikitra amin'ny data: Miguel Ángel Gatón
  2. Tanjon'ny angona: Control SPAM, fitantanana hevitra.
  3. Legitimation: Ny fanekenao
  4. Fifandraisana momba ny angona: Tsy hampitaina amin'ny antoko fahatelo ny angona raha tsy amin'ny adidy ara-dalàna.
  5. Fitehirizana angona: Database nomen'ny Occentus Networks (EU)
  6. Zo: Amin'ny fotoana rehetra, azonao atao ny mametra, mamerina ary mamafa ny mombamomba anao.