Преди няколко дни Microsoft получи поредица от силни критики от много разработчици след като на GitHub изтриете кода от xploit на Exchange И то е, че въпреки че за мнозина това би било най-логичното нещо, въпреки че истинският проблем е, че това бяха PoC xplots за закърпени уязвимости, които се използват като стандарт сред изследователите на сигурността.
Те им помагат да разберат как работят атаките, за да могат да изградят по-добра защита. Това действие възмути много изследователи по сигурността, тъй като експлойт прототипът беше пуснат след пускането на кръпката, което е обичайна практика.
В правилата на GitHub има клауза, която забранява поставянето на злонамерен код активни или експлойти (т.е. атакуващи системи на потребители) в хранилища, както и използването на GitHub като платформа за доставяне на експлойти и злонамерен код в хода на атаките.
Това правило обаче преди не е било прилагано към прототипи. на код, публикуван от изследователи които са публикувани за анализ на методите на атака, след като доставчикът е пуснал кръпка.
Тъй като такъв код обикновено не се премахва, Microsoft възприема акциите на GitHub като използването на административен ресурс за да блокирате информация за уязвимост във вашия продукт.
Критиците обвиниха Microsoft да има двоен стандарт и за цензуриране на съдържанието от голям интерес за общността за изследвания на сигурността, просто защото съдържанието е в ущърб на интересите на Microsoft.
Според член на екипа на Google Project Zero практиката на публикуване на експлойт прототипи е оправдана и ползите надвишават риска, тъй като няма начин резултатите от изследването да се споделят с други специалисти, така че тази информация да не попадне в ръцете на нападателите.
Изследовател Kryptos Logic се опита да спори, посочвайки, че в ситуация, в която все още има над 50 хиляди остарели сървъри на Microsoft Exchange в мрежата, публикуването на експлойт прототипи, готови за извършване на атаки, изглежда съмнително.
Вредата, която може да причини ранното пускане на експлойти, надвишава ползата за изследователите по сигурността, тъй като такива експлойти застрашават голям брой сървъри, на които все още не са инсталирани актуализации.
Представители на GitHub коментираха премахването като нарушение на правило на услугата (Acceptable Use Policies) и заявиха, че разбират значението на публикуването на експлойт прототипи за образователни и изследователски цели, но също така разбират опасността от щетите, които могат да причинят от нападателите.
Следователно, GitHub се опитва да намери оптималния баланс между интересите на общността разследване на сигурността и защитата на потенциални жертви. В този случай беше установено, че публикуването на експлойт, подходящ за атаки, стига да има голям брой системи, които все още не са актуализирани, нарушава правилата на GitHub.
Забележително е, че атаките започнаха през януари, много преди пускането на пластира и разкриването на информация за уязвимостта (ден 0). Преди да бъде публикуван прототипът на експлоита, вече бяха атакувани около 100 XNUMX сървъра, в които беше инсталирана задна врата за дистанционно управление.
В отдалечен прототип на експлойт на GitHub беше демонстрирана уязвимостта CVE-2021-26855 (ProxyLogon), която ви позволява да извличате данни от произволен потребител без удостоверяване. В комбинация с CVE-2021-27065 уязвимостта също ви позволи да стартирате кода си на сървъра с администраторски права.
Не всички експлойти бяха премахнати, например, опростена версия на друг експлойт, разработен от екипа на GreyOrder, остава на GitHub.
Бележка към експлоита показва, че първоначалният експлойт на GreyOrder е бил премахнат, след като към кода е добавена допълнителна функционалност за изброяване на потребители на пощенския сървър, която може да се използва за извършване на масивни атаки срещу компании, използващи Microsoft Exchange.