[ad_1]

منتقدان پس از حذف کد بهره برداری از آسیب پذیری های Exchange توسط Github ، تبخیر شدند

گیتهوب

Github طوفانی را برانگیخته است پس از اینکه مخزن اشتراک کد مایکروسافت شواهدی از مفهوم آسیب پذیری حیاتی در Microsoft Exchange را که منجر به 100000 عفونت سرور در هفته های اخیر شده است ، حذف کرد.

ProxyLogon نامی است که محققان به چهار آسیب پذیری Exchange در حمله حیات وحش و همچنین کدی که از آنها سوits استفاده می کند ، داده اند. محققان می گویند هافنیوم ، یك گروه هكر با بودجه دولتی ، مستقر در چین ، از ژانویه شروع به بهره برداری از ProxyLogon كرد و طی چند هفته پنج APT دیگر – كه از گروه های پیشرفته با تهدیدهای مداوم بریده شده بودند – این الگو را دنبال كردند. تاکنون حداقل 10 APT از ProxyLogon برای هدف قرار دادن سرورهای سراسر جهان استفاده کرده اند.

شرکت امنیتی Palo Alto Networks گفت ، مایکروسافت هفته گذشته رفع مشکلات اضطراری را انجام داد ، اما از روز سه شنبه ، حدود 125000 سرور Exchange هنوز آن را نصب نکرده بودند. FBI و آژانس امنیت سایبری و امنیت زیرساخت هشدار داده اند که ProxyLogon تهدیدی جدی برای مشاغل ، سازمان های غیرانتفاعی و سازمان های دولتی است که همچنان آسیب پذیر هستند.

روز چهارشنبه ، یک محقق آنچه را که به عنوان اولین بهره برداری عمدتاً عملیاتی تلقی می شود ، با شواهدی از مفهوم آسیب پذیری منتشر کرد. مستقر در ویتنام ، محقق همچنین یک نشریه Medium را منتشر کرد که در آن چگونگی عملکرد بهره برداری شرح داده شده است. به گفته دفاعیه ، هکرها با چند تغییر سریع بیشتر آنچه را که برای اجرای RCE وحشی خود نیاز دارند بدست می آورند.

انتشار سوits استفاده از PoC برای آسیب پذیری های وصله داده شده یک روش استاندارد در بین محققان امنیتی است. این به آنها کمک می کند تا حملات را درک کنند تا بتوانند دفاع بهتری ایجاد کنند. چارچوب هک منبع باز Metasploit تمام ابزارهای مورد نیاز برای اجرای ده ها هزار مورد بهره برداری وصله شده را فراهم می کند و هم توسط کلاه سیاه و هم از کلاه سفید استفاده می شود.

چند ساعت پس از راه اندازی PoC ، Github آن را حذف کرد. تا روز پنجشنبه ، برخی از محققان برای بارگیری عجله کرده بودند. منتقدان مایکروسافت را به سانسور محتوای مورد علاقه حیاتی جامعه امنیتی متهم کرده اند زیرا به منافع مایکروسافت آسیب می زند. برخی از منتقدان قول داده اند که در پاسخ بسیاری از کارهای خود در Github را حذف کنند.

دیو کندی ، بنیانگذار شرکت امنیتی TrustedSec ، گفت: “واو ، من اینجا کاملاً بی زبان هستم.” نوشت در توییتر. “مایکروسافت واقعاً کد PoC را از Github حذف کرد. این بسیار عظیم است ، کد محققان امنیتی GitHub را در برابر محصول خود ، که قبلاً وصله شده است ، حذف می کند. “

TrustedSec یکی از شرکتهای امنیتی بی شماری است که تحت فشار تماس ناامیدکننده سازمانهای تحت تأثیر ProxyLogon قرار گرفته است. بسیاری از هم سن و سالان کندی با خلق و خوی او موافق بودند.

“آیا مزیتی برای metasploit وجود دارد یا اینکه به معنای واقعی کلمه همه کسانی که از آن استفاده می کنند یک اسکریپت است؟” گفت Tavis Ormandi ، عضو Google Zero Project ، یک گروه تحقیقاتی درباره آسیب پذیری است که تقریباً بلافاصله پس از وصله PoC را به طور منظم منتشر می کند. “جای تأسف است که هیچ راهی برای به اشتراک گذاشتن تحقیقات و ابزارها با متخصصان بدون به اشتراک گذاشتن آنها با مهاجمان وجود ندارد ، اما بسیاری از مردم (مانند من) معتقدند که مزایای آن بیشتر از خطرات است.

برخی از محققان ادعا می کنند که Github دارای استاندارد دوگانه ای است که به کد PoC اجازه می دهد تا آسیب پذیری های اصلاح شده را تحت تأثیر نرم افزار سازمان های دیگر قرار دهد ، اما آنها را برای محصولات مایکروسافت حذف می کند. مایکروسافت از اظهار نظر خودداری کرد ، و گیتهوب به ایمیلی که درخواست نظر داشت ، پاسخ نداد.

نظر ویژه

مارکوس هاچینز ، محقق امنیت در Kryptos Logic ، منتقدان را رد کرد. وی گفت Github در واقع PoC ها را به دلیل آسیب پذیری های وصله نرم افزارهای غیر مایکروسافت حذف کرده است. وی همچنین با حذف بهره برداری از Exchange از Github شکایت کرد.

وی در یک پیام مستقیم به من گفت: “من قبلاً دیده ام که Github کدهای مخرب را حذف می کند ، نه فقط کدی که محصولات مایکروسافت را هدف قرار می دهد.” من شدیداً شک دارم که MS نقشی در حذف داشته باشد و به سادگی خط مشی “بدافزار فعال یا سوlo استفاده ها” از Github را نقض کند. [terms of service]، به دلیل این عملیات ، که بسیار اخیر است و تعداد زیادی از سرورها با خطر فوری باج افزار. “

هاچینز در پاسخ به کندی در توییتر افزود:

وی گفت: “این از قبل وصله شده است.” نوشت. “عزیزم ، بیش از 50،000 سرور برای صرافی های ناموفق وجود دارد. راه اندازی یک مدار کاملاً کامل RCE یک مطالعه امنیتی نیست ، بلکه بی پروایی و مزخرف است. “

نشریه ای که توسط مادربرد منتشر شده حاوی بیانیه ای از Github است ، که تصورات هاچینز مبنی بر حذف PoC به دلیل نقض شرایط خدمات Github را تأیید می کند. در این بیانیه آمده است:

سخنگو در یک ایمیل گفت: “ما درک می کنیم که انتشار و انتشار شواهد یک مفهوم کد بهره برداری برای جامعه امنیتی دارای ارزش آموزشی و پژوهشی است و هدف ما تعادل بخشیدن به این منافع با ایمن سازی اکوسیستم گسترده تر است.” “مطابق با خط مشی استفاده قابل قبول خود ، ما بدنبال گزارش هایی که حاوی شواهدی از کد مفهومی برای آسیب پذیری اخیراً کشف شده و فعالانه مورد استفاده است ، موجودیت را از کار انداختیم.

PoC حذف شده توسط Github در سایت های بایگانی همچنان در دسترس است. تا زمانی که سرورهای بیشتری وصله نشوند ، Ars به ​​آن یا به نشریه Medium متصل نمی شود.



[ad_2]

منبع: tarjome-news.ir