Kritikus Microsoft GitHub sérülékenység
A Tenable egy kritikus, CVSS 9.3-as súlyosságú sérülékenységet ír le a Microsoft GitHub-on elérhető Windows driver-kódokhoz kapcsolódó build/workflow környezetben.
A probléma egy klasszikus driver-szintű hiba, hanem a repositoryhoz kapcsolódó fejlesztési és automatizált workflow-folyamat kompromittálhatósága, amely távoli kódfuttatáshoz vezethet. A Tenable besorolása szerint a sérülékenység hálózaton keresztül, alacsony komplexitással, felhasználói interakció nélkül kihasználható, ami különösen magas kockázati szintet jelez.
A támadási modell tipikusan a modern CI/CD és GitHub-alapú fejlesztési láncokhoz kapcsolódik. Egy ilyen workflow-szintű sérülékenység esetén a támadó képes lehet rosszindulatú kódot injektálni a build folyamatba, amely aztán legitim komponensként kerül lefordításra vagy terjesztésre. Ez különösen kritikus, mert a kompromittáció nem egy futó rendszert, hanem a szoftver előállítási folyamatát érinti, így downstream hatással lehet minden olyan környezetre, amely a generált artefaktumokat használja.
A magas súlyosság abból adódik, hogy a sérülékenység teljes code execution és magas adatvédelmi kockázatot eredményezhet, miközben a kihasználás feltételei minimálisak. A Tenable értékelése szerint ez egy tipikus supply chain jellegű kitettség, ahol a támadási felület nem a végponti rendszer, hanem a fejlesztési infrastruktúra. A Microsoft pull requesttel javította ki a sebezhető munkafolyamatot.
