Microsoft Github-dagi Exchange xploit-dan kodni olib tashlaganidan keyin tanqidga uchraydi

Bir necha kun oldin Microsoft qator qattiq tanqidlarga uchradi ko'plab ishlab chiquvchilar tomonidan GitHub-dan so'ng kodni Exchange xploit-dan o'chirib tashlang Va shunga qaramay, ko'pchilik uchun bu eng mantiqiy narsa bo'lishi mumkin edi, ammo haqiqiy muammo shundaki, bu xavfsizlik tadqiqotchilari orasida standart sifatida ishlatilgan yamalgan zaifliklar uchun PoC xplots edi.

Bu ularga hujumlarning qanday ishlashini tushunishga yordam beradi, shunda ular yanada yaxshi mudofaa qurishlari mumkin. Ushbu harakat ko'plab xavfsizlik tadqiqotchilarini g'azablantirdi, chunki ekspluatatsiya prototipi yamoq chiqarilgandan so'ng chiqarildi, bu odatiy amaliyotdir.

GitHub qoidalarida zararli kodlarni joylashtirishni taqiqlovchi band mavjud omborlardagi faol yoki ekspluatatsiya (ya'ni foydalanuvchilar tizimiga hujum qilish), shuningdek GitHub-dan hujumlar paytida ekspluatatsiya va zararli kodlarni etkazib berish platformasi sifatida foydalanish.

Biroq, ushbu qoida ilgari prototiplarga nisbatan qo'llanilmagan. tadqiqotchilar tomonidan nashr etilgan kod sotuvchisi yamoq chiqargandan keyin hujum usullarini tahlil qilish uchun nashr etilgan.

Bunday kod odatda olib tashlanmaganligi sababli, Microsoft GitHub aktsiyalarini qabul qildi ma'muriy resursdan foydalanish kabi mahsulotingizdagi zaiflik haqidagi ma'lumotlarni blokirovka qilish.

Tanqidchilar Microsoft kompaniyasini ayblashdi ikkilamchi standartga ega bo'lish va tarkibni tsenzura qilish xavfsizlik tadqiqotlari hamjamiyati uchun katta qiziqish shunchaki tarkib Microsoft manfaatlariga zarar etkazishi sababli.

Google Project Zero jamoasi a'zosining so'zlariga ko'ra ekspluatatsiya prototiplarini nashr etish amaliyoti oqlanadi va foydasi xavfdan ustundir, chunki bu ma'lumot qo'lga tushmasligi uchun tadqiqot natijalarini boshqa mutaxassislar bilan bo'lishishning imkoni yo'q. hujumchilar.

Tergovchi Kryptos Logic bahslashishga urindi, tarmoqda hali ham 50 mingdan ortiq eskirgan Microsoft Exchange serverlari mavjud bo'lgan vaziyatda, hujumlarni amalga oshirishga tayyor ekspluatatsiya prototiplarini nashr etish shubhali ko'rinadi.

Ekspluatatsiyani muddatidan oldin ozod qilishning zarari xavfsizlik tadqiqotchilari uchun foydadan ko'proqdir, chunki bunday ekspluatatsiya hali yangilanishlarni o'rnatmagan ko'plab serverlarga xavf tug'diradi.

GitHub vakillari o'chirishni qoida buzilishi sifatida izohladilar xizmatining (Qabul qilinadigan foydalanish qoidalari) va ekspluatatsiya prototiplarini ta'lim va tadqiqot maqsadlarida nashr etish muhimligini, shuningdek, tajovuzkorlar tomonidan etkazilishi mumkin bo'lgan zarar xavfini tushunishini aytdi.

Shuning uchun, GitHub qiziqishlar orasidagi optimal muvozanatni topishga harakat qiladi jamiyatning xavfsizlik va potentsial qurbonlarni himoya qilish bo'yicha tergov. Bunday holda, hali yangilanmagan ko'plab tizimlar mavjud bo'lsa, hujumlar uchun mos ekspluatatsiyani nashr etish GitHub qoidalarini buzishi aniqlandi.

Shunisi e'tiborga loyiqki, hujumlar yanvarda, yamoq chiqarilishidan va zaiflik haqidagi ma'lumotni oshkor qilishdan ancha oldin boshlangan (0 kun). Ekspluatatsiya prototipi nashr etilishidan oldin 100 mingga yaqin serverlarga hujum qilingan, unda masofadan boshqarish uchun orqa eshik o'rnatilgan.

Masofadagi GitHub ekspluatatsiyasi prototipida CVE-2021-26855 (ProxyLogon) zaifligi namoyish etildi, bu sizga o'zboshimchalik bilan foydalanuvchidan autentifikatsiya qilinmasdan ma'lumotlarni olish imkonini beradi. CVE-2021-27065 bilan birgalikda, zaiflik sizga kodingizni administrator huquqlari bilan serverda ishlatishga imkon berdi.

Hamma ekspluatatsiya olib tashlanmadi, masalan, GreyOrder jamoasi tomonidan ishlab chiqilgan yana bir ekspluatatsiyaning soddalashtirilgan versiyasi GitHub-da qolmoqda.

Ekspluatatsiya to'g'risida eslatma shuni ko'rsatadiki, GreyOrder ekspluatatsiyasi Microsoft Exchange-dan foydalanadigan kompaniyalarga qarshi katta hujumlarni amalga oshirish uchun ishlatilishi mumkin bo'lgan pochta serveridagi foydalanuvchilar ro'yxatiga qo'shimcha funktsiyalar qo'shilgandan so'ng o'chirildi.


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.