ഗിത്തബിലെ ഒരു എക്സ്ചേഞ്ച് എക്സ്പ്ലോയിറ്റിൽ നിന്ന് കോഡ് നീക്കം ചെയ്തതിന് ശേഷം മൈക്രോസോഫ്റ്റിന് വിമർശനം ലഭിക്കുന്നു

കുറച്ച് ദിവസം മുമ്പ് ശക്തമായ വിമർശനങ്ങളുടെ പരമ്പരയാണ് മൈക്രോസോഫ്റ്റിന് ലഭിച്ചത് നിരവധി ഡവലപ്പർമാർ GitHub ന് ശേഷം ഒരു എക്സ്ചേഞ്ച് എക്സ്പ്ലോയിറ്റിൽ നിന്ന് കോഡ് ഇല്ലാതാക്കുക പലർക്കും ഇത് ഏറ്റവും യുക്തിസഹമായ കാര്യമാണെങ്കിലും, യഥാർത്ഥ പ്രശ്‌നം, ഇത് പാച്ച് ചെയ്ത കേടുപാടുകൾക്കുള്ള ഒരു പിഒസി എക്സ്പ്ലോട്ടുകളായിരുന്നു എന്നതാണ്, അവ സുരക്ഷാ ഗവേഷകർക്കിടയിൽ ഒരു മാനദണ്ഡമായി ഉപയോഗിക്കുന്നു.

ആക്രമണങ്ങൾ എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് മനസിലാക്കാൻ ഇവ സഹായിക്കുന്നു, അതിനാൽ അവർക്ക് മികച്ച പ്രതിരോധം സൃഷ്ടിക്കാൻ കഴിയും. പാച്ച് പുറത്തിറങ്ങിയതിനുശേഷം ചൂഷണ പ്രോട്ടോടൈപ്പ് പുറത്തിറക്കിയതിനാൽ ഈ നടപടി നിരവധി സുരക്ഷാ ഗവേഷകരെ പ്രകോപിപ്പിച്ചു, ഇത് സാധാരണ രീതിയാണ്.

ക്ഷുദ്ര കോഡ് സ്ഥാപിക്കുന്നത് നിരോധിക്കുന്ന ഒരു നിബന്ധന GitHub നിയമങ്ങളിൽ ഉണ്ട് സംഭരണികളിലെ സജീവമോ ചൂഷണമോ (അതായത് ഉപയോക്താക്കളുടെ സിസ്റ്റങ്ങളെ ആക്രമിക്കുന്നത്), അതുപോലെ തന്നെ ആക്രമണസമയത്ത് ചൂഷണങ്ങളും ക്ഷുദ്ര കോഡും കൈമാറുന്നതിനുള്ള ഒരു പ്ലാറ്റ്ഫോമായി GitHub- ന്റെ ഉപയോഗം.

എന്നിരുന്നാലും, ഈ നിയമം മുമ്പ് പ്രോട്ടോടൈപ്പുകളിൽ പ്രയോഗിച്ചിട്ടില്ല. ഗവേഷകർ പ്രസിദ്ധീകരിച്ച കോഡ് വെണ്ടർ ഒരു പാച്ച് പുറത്തിറക്കിയതിനുശേഷം ആക്രമണ രീതികൾ വിശകലനം ചെയ്യുന്നതിനായി അവ പ്രസിദ്ധീകരിച്ചു.

അത്തരം കോഡ് സാധാരണയായി നീക്കം ചെയ്യാത്തതിനാൽ, മൈക്രോസോഫ്റ്റ് GitHub ഓഹരികൾ മനസ്സിലാക്കി അഡ്‌മിനിസ്‌ട്രേറ്റീവ് റിസോഴ്‌സിന്റെ ഉപയോഗം പോലുള്ളവ നിങ്ങളുടെ ഉൽ‌പ്പന്നത്തിലെ കേടുപാടുകളെക്കുറിച്ചുള്ള വിവരങ്ങൾ‌ തടയുന്നതിന്.

മൈക്രോസോഫ്റ്റിനെ വിമർശകർ ആരോപിച്ചു ഇരട്ട നിലവാരവും ഒപ്പം ഉള്ളടക്കം സെൻസർ ചെയ്യുന്നതിന് ഉള്ളടക്കം മൈക്രോസോഫ്റ്റിന്റെ താൽപ്പര്യങ്ങൾക്ക് ഹാനികരമായതിനാൽ സുരക്ഷാ ഗവേഷണ കമ്മ്യൂണിറ്റിയോട് വലിയ താൽപ്പര്യമുണ്ട്.

ഗൂഗിൾ പ്രോജക്റ്റ് സീറോ ടീമിലെ ഒരു അംഗം പറയുന്നതനുസരിച്ച്, ചൂഷണ പ്രോട്ടോടൈപ്പുകൾ പ്രസിദ്ധീകരിക്കുന്ന രീതി ന്യായീകരിക്കപ്പെടുന്നു, മാത്രമല്ല ആനുകൂല്യങ്ങൾ അപകടസാധ്യതയെ മറികടക്കുന്നു, കാരണം ഗവേഷണ ഫലങ്ങൾ മറ്റ് സ്പെഷ്യലിസ്റ്റുകളുമായി പങ്കിടാൻ ഒരു മാർഗവുമില്ല, അതിനാൽ ഈ വിവരങ്ങൾ കൈയിൽ വരില്ല. ആക്രമണകാരികളുടെ.

ഒരു ഗവേഷകൻ ക്രിപ്‌റ്റോസ് ലോജിക് വാദിക്കാൻ ശ്രമിച്ചു, നെറ്റ്വർക്കിൽ ഇപ്പോഴും 50 ആയിരത്തിലധികം കാലഹരണപ്പെട്ട മൈക്രോസോഫ്റ്റ് എക്സ്ചേഞ്ച് സെർവറുകൾ ഉള്ള സാഹചര്യത്തിൽ, ആക്രമണങ്ങൾ നടത്താൻ തയ്യാറായ ചൂഷണ പ്രോട്ടോടൈപ്പുകളുടെ പ്രസിദ്ധീകരണം സംശയാസ്പദമാണെന്ന് തോന്നുന്നു.

നേരത്തേ അപ്‌ഡേറ്റുകൾ‌ ഇൻ‌സ്റ്റാൾ‌ ചെയ്‌തിട്ടില്ലാത്ത ധാരാളം സെർ‌വറുകളെ അത്തരം ചൂഷണങ്ങൾ‌ അപകടത്തിലാക്കുന്നതിനാൽ‌, ചൂഷണങ്ങളുടെ ആദ്യകാല റിലീസ് സുരക്ഷാ ഗവേഷകർ‌ക്ക് നേട്ടത്തെ മറികടക്കും.

നീക്കംചെയ്യലിനെ ഒരു നിയമ ലംഘനമായി GitHub പ്രതിനിധികൾ അഭിപ്രായപ്പെട്ടു സേവനത്തിന്റെ (സ്വീകാര്യമായ ഉപയോഗ നയങ്ങൾ) വിദ്യാഭ്യാസ, ഗവേഷണ ആവശ്യങ്ങൾക്കായി പ്രോട്ടോടൈപ്പുകൾ ചൂഷണം ചെയ്യുന്നതിന്റെ പ്രാധാന്യം അവർ മനസിലാക്കുന്നുവെന്നും മാത്രമല്ല ആക്രമണകാരികളുടെ കൈയിൽ അവർ വരുത്തുന്ന നാശത്തിന്റെ അപകടത്തെക്കുറിച്ചും മനസിലാക്കുന്നു.

അതുകൊണ്ട്, താൽപ്പര്യങ്ങൾ തമ്മിലുള്ള ഒപ്റ്റിമൽ ബാലൻസ് കണ്ടെത്താൻ GitHub ശ്രമിക്കുന്നു കമ്മ്യൂണിറ്റിയുടെ സുരക്ഷയെക്കുറിച്ചുള്ള അന്വേഷണം, ഇരകളുടെ സംരക്ഷണം. ഈ സാഹചര്യത്തിൽ, ആക്രമണത്തിന് അനുയോജ്യമായ ഒരു ചൂഷണം പ്രസിദ്ധീകരിക്കുന്നത്, ഇതുവരെ അപ്‌ഡേറ്റ് ചെയ്യാത്ത ധാരാളം സിസ്റ്റങ്ങൾ ഉള്ളിടത്തോളം കാലം, GitHub നിയമങ്ങൾ ലംഘിക്കുന്നതായി കണ്ടെത്തി.

പാച്ച് പുറത്തിറക്കുന്നതിനും ദുർബലതയെക്കുറിച്ചുള്ള വിവരങ്ങൾ പുറത്തുവിടുന്നതിനും (ദിവസം 0) ജനുവരിയിൽ ആക്രമണങ്ങൾ ആരംഭിച്ചു എന്നത് ശ്രദ്ധേയമാണ്. ചൂഷണത്തിന്റെ പ്രോട്ടോടൈപ്പ് പ്രസിദ്ധീകരിക്കുന്നതിന് മുമ്പ്, ഒരു ലക്ഷത്തോളം സെർവറുകൾ ഇതിനകം ആക്രമിക്കപ്പെട്ടിരുന്നു, അതിൽ വിദൂര നിയന്ത്രണത്തിനായി ഒരു പിൻവാതിൽ സ്ഥാപിച്ചു.

ഒരു വിദൂര GitHub ചൂഷണം പ്രോട്ടോടൈപ്പിൽ, CVE-2021-26855 (ProxyLogon) ദുർബലത പ്രകടമാക്കി, പ്രാമാണീകരണം കൂടാതെ അനിയന്ത്രിതമായ ഉപയോക്താവിൽ നിന്ന് ഡാറ്റ എക്‌സ്‌ട്രാക്റ്റുചെയ്യാൻ നിങ്ങളെ അനുവദിക്കുന്നു. CVE-2021-27065 മായി സംയോജിച്ച്, അഡ്‌മിനിസ്‌ട്രേറ്റർ അവകാശങ്ങളുള്ള സെർവറിൽ നിങ്ങളുടെ കോഡ് പ്രവർത്തിപ്പിക്കാനും ദുർബലത നിങ്ങളെ അനുവദിച്ചു.

എല്ലാ ചൂഷണങ്ങളും നീക്കംചെയ്തില്ല, ഉദാഹരണത്തിന്, ഗ്രേ ഓർഡർ ടീം വികസിപ്പിച്ച മറ്റൊരു ചൂഷണത്തിന്റെ ലളിതമായ പതിപ്പ് GitHub- ൽ അവശേഷിക്കുന്നു.

മൈക്രോസോഫ്റ്റ് എക്സ്ചേഞ്ച് ഉപയോഗിക്കുന്ന കമ്പനികൾക്കെതിരെ വൻ ആക്രമണങ്ങൾ നടത്താൻ ഉപയോഗിച്ചേക്കാവുന്ന മെയിൽ സെർവറിലെ ഉപയോക്താക്കളെ ലിസ്റ്റുചെയ്യുന്നതിന് കോഡിലേക്ക് അധിക പ്രവർത്തനം ചേർത്തതിന് ശേഷം യഥാർത്ഥ ഗ്രേ ഓർഡർ ചൂഷണം നീക്കംചെയ്തുവെന്ന് ചൂഷണത്തിനുള്ള ഒരു കുറിപ്പ് സൂചിപ്പിക്കുന്നു.


ലേഖനത്തിന്റെ ഉള്ളടക്കം ഞങ്ങളുടെ തത്ത്വങ്ങൾ പാലിക്കുന്നു എഡിറ്റോറിയൽ എത്തിക്സ്. ഒരു പിശക് റിപ്പോർട്ടുചെയ്യാൻ ക്ലിക്കുചെയ്യുക ഇവിടെ.

അഭിപ്രായമിടുന്ന ആദ്യയാളാകൂ

നിങ്ങളുടെ അഭിപ്രായം ഇടുക

നിങ്ങളുടെ ഇമെയിൽ വിലാസം പ്രസിദ്ധീകരിച്ചു ചെയ്യില്ല.

*

*

  1. ഡാറ്റയുടെ ഉത്തരവാദിത്തം: മിഗുവൽ ഏഞ്ചൽ ഗാറ്റൻ
  2. ഡാറ്റയുടെ ഉദ്ദേശ്യം: സ്പാം നിയന്ത്രിക്കുക, അഭിപ്രായ മാനേജുമെന്റ്.
  3. നിയമസാധുത: നിങ്ങളുടെ സമ്മതം
  4. ഡാറ്റയുടെ ആശയവിനിമയം: നിയമപരമായ ബാധ്യതയല്ലാതെ ഡാറ്റ മൂന്നാം കക്ഷികളുമായി ആശയവിനിമയം നടത്തുകയില്ല.
  5. ഡാറ്റ സംഭരണം: ഒസെന്റസ് നെറ്റ്‌വർക്കുകൾ (ഇയു) ഹോസ്റ്റുചെയ്യുന്ന ഡാറ്റാബേസ്
  6. അവകാശങ്ങൾ: ഏത് സമയത്തും നിങ്ങളുടെ വിവരങ്ങൾ പരിമിതപ്പെടുത്താനും വീണ്ടെടുക്കാനും ഇല്ലാതാക്കാനും കഴിയും.