قبل بضعة أيام تلقت مايكروسوفت سلسلة من الانتقادات الشديدة من قبل العديد من المطورين بعد على GitHub ، احذف الرمز من Exchange xploit وهو أنه على الرغم من أنه بالنسبة للكثيرين سيكون الأمر الأكثر منطقية ، على الرغم من أن المشكلة الحقيقية تكمن في أنها كانت عبارة عن xplots PoC من أجل الثغرات الأمنية المصححة ، والتي تُستخدم كمعيار بين الباحثين الأمنيين.
هذه تساعدهم على فهم كيفية عمل الهجمات حتى يتمكنوا من بناء دفاعات أفضل. أثار هذا الإجراء غضب العديد من الباحثين الأمنيين ، حيث تم إطلاق النموذج الأولي للاستغلال بعد إصدار التصحيح ، وهي ممارسة شائعة.
هناك بند في قواعد GitHub يحظر وضع التعليمات البرمجية الضارة نشط أو يستغل (أي مهاجمة أنظمة المستخدمين) في المستودعات ، بالإضافة إلى استخدام GitHub كمنصة لتقديم عمليات الاستغلال والشفرات الضارة في سياق الهجمات.
ومع ذلك ، لم يتم تطبيق هذه القاعدة مسبقًا على النماذج الأولية. من التعليمات البرمجية التي نشرها الباحثون التي تم نشرها لتحليل أساليب الهجوم بعد أن أصدر البائع تصحيحًا.
نظرًا لأن هذا الرمز لا يتم إزالته بشكل عام ، أدركت Microsoft مشاركات GitHub مثل استخدام مورد إداري لحظر المعلومات حول ثغرة أمنية في منتجك.
اتهم النقاد مايكروسوفت أن يكون لها معيار مزدوج و لفرض رقابة على المحتوى ذات أهمية كبيرة لمجتمع البحث الأمني لمجرد أن المحتوى يضر بمصالح Microsoft.
وفقًا لأحد أعضاء فريق Google Project Zero ، فإن ممارسة نشر النماذج الأولية للاستغلال لها ما يبررها ، والفوائد تفوق المخاطر ، حيث لا توجد طريقة لمشاركة نتائج البحث مع متخصصين آخرين حتى لا تقع هذه المعلومات في أيدي المتخصصين. من المهاجمين.
باحث حاول Kryptos Logic أن يجادل ، مشيرة إلى أنه في حالة وجود أكثر من 50 ألف خادم Microsoft Exchange قديم على الشبكة ، يبدو أن نشر نماذج الاستغلال الجاهزة لتنفيذ الهجمات أمر مشكوك فيه.
الضرر الذي يمكن أن يسببه الإصدار المبكر لبرامج استغلال الثغرات يفوق الفائدة التي تعود على الباحثين الأمنيين ، لأن مثل هذه الثغرات تهدد عددًا كبيرًا من الخوادم التي لم يتم تثبيت التحديثات عليها بعد.
علق ممثلو GitHub على الإزالة باعتبارها انتهاكًا للقاعدة الخدمة (سياسات الاستخدام المقبول) وقالوا إنهم يدركون أهمية نشر نماذج استغلال الثغرات للأغراض التعليمية والبحثية ، لكنهم يفهمون أيضًا خطر الضرر الذي يمكن أن يسببه المهاجمون.
لذلك، يحاول GitHub إيجاد التوازن الأمثل بين الاهتمامات من المجتمع التحقيق في الأمن وحماية الضحايا المحتملين. في هذه الحالة ، وجد أن نشر ثغرة مناسبة للهجمات ، طالما أن هناك عددًا كبيرًا من الأنظمة التي لم يتم تحديثها بعد ، ينتهك قواعد GitHub.
يشار إلى أن الهجمات بدأت في يناير ، قبل وقت طويل من إطلاق التصحيح والكشف عن معلومات حول الثغرة (اليوم 0). قبل نشر النموذج الأولي للاستغلال ، تم بالفعل مهاجمة حوالي 100 خادم ، حيث تم تثبيت باب خلفي لجهاز التحكم عن بعد.
في النموذج الأولي لاستغلال GitHub البعيد ، تم عرض الثغرة الأمنية CVE-2021-26855 (ProxyLogon) ، والتي تتيح لك استخراج البيانات من مستخدم عشوائي دون مصادقة. بالاقتران مع CVE-2021-27065 ، سمحت لك الثغرة الأمنية أيضًا بتشغيل التعليمات البرمجية الخاصة بك على الخادم بحقوق المسؤول.
لم تتم إزالة كل الثغرات ، على سبيل المثال ، تبقى نسخة مبسطة من استغلال آخر طوره فريق GreyOrder على GitHub.
تشير ملاحظة حول الاستغلال إلى أنه تمت إزالة استغلال GreyOrder الأصلي بعد إضافة وظائف إضافية إلى الكود لإدراج المستخدمين على خادم البريد ، والذي يمكن استخدامه لتنفيذ هجمات ضخمة ضد الشركات التي تستخدم Microsoft Exchange.