Microsoft ले Github मा एक्सचेन्ज xploit बाट कोड हटाएपछि आलोचना प्राप्त गर्दछ

केहि दिन अघि माइक्रोसफ्ट कडा आलोचना को एक श्रृंखला प्राप्त किया धेरै विकासकर्ताहरू द्वारा GitHub पछि पछाडि एक्सचेन्ज xploit बाट कोड हटाउनुहोस् र यो यो हो कि धेरैका लागि यो सबैभन्दा तार्किक कुरा हुनेछ, यद्यपि वास्तविक समस्या यो हो कि यो प्याच एक्सप्लोट्स प्याक्ड जोखिमहरूको लागि थियो, जुन सुरक्षा अनुसन्धानकर्ताहरु बीच मानकको रूपमा प्रयोग गरीन्छ।

यसले उनीहरूलाई आक्रमणहरू कसरी काम गर्दछन् भनेर बुझ्न मद्दत गर्दछ ताकि उनीहरू अझ राम्रा सुरक्षाहरू निर्माण गर्न सक्दछन्। यस कार्यले धेरै सुरक्षा अनुसन्धानकर्ताहरुलाई आक्रोशित पारेको छ, प्याच रिलीज पछि शोषण प्रोटोटाइप जारी गरिएको थियो, जुन सामान्य चलन हो।

त्यहाँ गीतिहब नियममा एक खंड छ जुन मालिसियस कोडको प्लेसमेन्टलाई निषेध गर्दछ सक्रिय वा शोषण (यो हो, प्रयोगकर्ताहरूका प्रणालीहरूमा हमला गर्ने) भण्डारहरूमा, साथ साथै GitHub को एक प्लेटफर्मको रूपमा प्रयोग र शोषणको क्रममा मालिसियस कोड पुर्‍याउने काम गर्दछ।

यद्यपि यो नियम प्रोटोटाइपमा पहिले लागू गरिएको छैन। अन्वेषकहरु द्वारा प्रकाशित कोड को जुन विक्रेताले प्याच छोडे पछि आक्रमण विधिहरू विश्लेषण गर्न प्रकाशित गरिएको छ।

किनकी त्यस्तो कोड सामान्यतया हटाइएको छैन, माइक्रोसफ्टले GitHub शेयर समझे जस्तै एक प्रशासनिक संसाधन को उपयोग गरेर तपाइँको उत्पादन मा एक जोखिम को बारे मा जानकारी ब्लक गर्न.

आलोचकहरूले माइक्रोसफ्टलाई आरोप लगाए एक डबल मानक छ र सामग्री सेन्सर गर्न सुरक्षा अनुसन्धान समुदायको लागि ठूलो चासोको कारण सामग्री सामग्री माइक्रोसफ्टको चासोको लागि हानिकारक हो।

गुगल प्रोजेक्ट शून्य टोलीका एक सदस्यका अनुसार शोषण प्रोटोटाइप प्रकाशित गर्ने अभ्यास उचित छ, र यसका फाइदाहरू जोखिमभन्दा बढी हुन्छन् किनकी अन्य विशेषज्ञहरूसँग अनुसन्धान परिणामहरू बाँड्ने कुनै उपाय छैन त्यसैले यो जानकारी हातमा नपरोस्। आक्रमणकारीहरूको।

एक अन्वेषक Kryptos तर्क तर्क गर्न को लागी, औंल्याउँदै कि नेटवर्कमा अझै पनी thousand० हजार भन्दा बढि मितिमा माइक्रोसफ्ट एक्सचेन्ज सर्भरहरू रहेका अवस्थामा प्रकाशनले शोषण प्रोटोटाइपहरू आक्रमण गर्न तयार बनाएको शंकास्पद देखिन्छ।

शोषणको प्रारम्भिक विमोचनले हानि पुर्‍याउँछ यसले सुरक्षा अनुसन्धानकर्तालाई फाइदा पुग्न सक्छ, किनभने त्यस्ता कारनामाहरूले ठूलो संख्यामा सर्भरहरू जोखिममा पार्दछ जुन अद्यावधिकहरू स्थापना भएको छैन।

GitHub रेप्सले हटाईएकोमा नियम उल्ल removal्घनको रूपमा टिप्पणी गर्‍यो सेवा (स्वीकार्य प्रयोग नितिहरू) र उनीहरूले भने कि उनीहरू प्रकाशनको महत्त्व बुझ्छन् शैक्षिक र अनुसन्धान उद्देश्यका लागि प्रोटोटाइप शोषण गर्छन्, तर साथै आक्रमणकर्ताहरूको हातमा हुन सक्ने नोक्सानको खतरा पनि बुझ्छन्।

त्यसकारण, GitHub चासो बीचमा इष्टतम सन्तुलन खोज्ने प्रयास गर्दछ समुदाय को सुरक्षा र सम्भावित पीडितहरूको संरक्षणमा अनुसन्धान। यस अवस्थामा यो पत्ता लाग्यो कि आक्रमणको लागि उपयुक्त एक शोषण प्रकाशन गर्न, जबसम्म त्यहाँ धेरै संख्यामा प्रणालीहरू छन् जुन अझै अपडेट गरिएको छैन, GitHub नियम उल्ल .्घन गर्दछ।

यो उल्लेखनीय छ कि हमलाहरू जनवरीमा शुरू भएको थियो, प्याच रिलिज हुनु भन्दा पहिले र असुरक्षाको बारेमा जानकारीको खुलासा हुनु (दिन ०)। शोषणको प्रोटोटाइप प्रकाशित हुनुभन्दा अघि करीव करीव १०,००० सर्भरहरू आक्रमण भइसकेका थिए, जसमा रिमोट कन्ट्रोलको लागि पछाडिको ढोका स्थापना गरिएको थियो।

टाढाको GitHub शोषण प्रोटोटाइपमा, CVE-2021-26855 (ProxyLogon) भेद्यता प्रदर्शन गरिएको थियो, जसले तपाईंलाई प्रमाणिकरण बिना एक मनमानी प्रयोगकर्ताबाट डाटा निकाल्न अनुमति दिन्छ। CVE-2021-27065 का साथ संयोजनमा, जोखिमले पनि तपाईंलाई व्यवस्थापक अधिकारको साथ सर्वरमा तपाईंको कोड चलाउन अनुमति दिन्थ्यो।

सबै शोषणहरू हटाइएन, उदाहरण को लागी, GreyOrder टीम द्वारा विकसित अर्को शोषण को एक सरलीकृत संस्करण GitHub मा रहन्छ।

शोषणको लागि नोटले संकेत गर्दछ कि मौलिक ग्रेऑर्डर शोषण हटाईएको थियो अतिरिक्त सर्त कोडमा थपिएको थियो मेल सर्वरमा प्रयोगकर्ताहरूको सूचीको लागि, जुन कम्पनीले माइक्रोसफ्ट एक्सचेन्जको प्रयोग गरेर कम्पनीहरूको बिरूद्ध ठूलो आक्रमण गर्न प्रयोग गर्न सक्दछ।


लेखको सामग्री हाम्रो सिद्धान्तहरूको पालना गर्दछ सम्पादकीय नैतिकता। त्रुटि क्लिक गर्न रिपोर्ट गर्नुहोस् यहाँ.

टिप्पणी गर्न पहिलो हुनुहोस्

तपाइँको टिप्पणी छोड्नुहोस्

तपाईंको ईमेल ठेगाना प्रकाशित हुनेछैन।

*

*

  1. डाटाका लागि उत्तरदायी: मिगुएल gelन्गल ग्याटन
  2. डाटाको उद्देश्य: नियन्त्रण स्पाम, टिप्पणी प्रबन्धन।
  3. वैधानिकता: तपाईंको सहमति
  4. डाटाको सञ्चार: डाटा कानुनी बाध्यता बाहेक तेस्रो पक्षलाई सूचित गरिने छैन।
  5. डाटा भण्डारण: डाटाबेस ओसीन्टस नेटवर्क (EU) द्वारा होस्ट गरिएको
  6. अधिकार: कुनै पनि समयमा तपाईं सीमित गर्न सक्नुहुनेछ, पुन: प्राप्ति र तपाईंको जानकारी मेटाउन।