Prije nekoliko dana Microsoft je dobio niz oštrih kritika od strane mnogih programera nakon što na GitHubu izbrišete kôd iz Exchange xploita I to je iako bi za mnoge to bilo najlogičnije, iako je stvarni problem to što su to PoC xplots za zakrpane ranjivosti, koji se koriste kao standard među istraživačima sigurnosti.
To im pomaže da shvate kako napadi funkcioniraju kako bi mogli izgraditi bolju obranu. Ova akcija ogorčila je mnoge sigurnosne istraživače, jer je prototip exploit-a objavljen nakon objavljivanja zakrpe, što je uobičajena praksa.
U pravilima GitHub-a postoji klauzula koja zabranjuje postavljanje zlonamjernog koda aktivno ili iskorištava (odnosno napada sisteme korisnika) u spremištima, kao i upotrebu GitHub-a kao platforme za isporuku iskorištavanja i zlonamjernog koda tokom napada.
Međutim, ovo pravilo se prethodno nije primjenjivalo na prototipove. koda koji su objavili istraživači koji su objavljeni za analizu metoda napada nakon što je dobavljač objavio zakrpu.
Budući da se takav kôd uglavnom ne uklanja, Microsoft je shvatio GitHub dionice poput korištenja administrativnog resursa da biste blokirali informacije o ranjivosti vašeg proizvoda.
Kritičari su optužili Microsoft da imaju dvostruki standard i cenzurirati sadržaj od velikog interesa za zajednicu istraživača sigurnosti samo zato što sadržaj šteti interesima Microsofta.
Prema članu Google Project Zero tima, praksa objavljivanja exploit prototipa je opravdana, a koristi su veće od rizika, jer ne postoji način da se rezultati istrage podijele s drugim stručnjacima kako ove informacije ne bi upadale u ruke napadača.
Istražitelj Kryptos Logic pokušao je raspravljati, ističući da u situaciji kada je na mreži još uvijek više od 50 tisuća zastarjelih servera Microsoft Exchange, objavljivanje eksploatacijskih prototipova spremnih za izvođenje napada izgleda sumnjivo.
Šteta koju rano puštanje exploita može nanijeti veća je od koristi za sigurnosne istraživače, jer takvi exploiti ugrožavaju veliki broj servera na kojima nadogradnje još nisu instalirane.
Predstavnici GitHub-a komentirali su uklanjanje kao kršenje pravila službe (Politike prihvatljive upotrebe) i rekao da razumiju važnost objavljivanja eksploatacijskih prototipa u obrazovne i istraživačke svrhe, ali isto tako razumiju i opasnost od štete koju mogu nanijeti napadačima.
Zbog toga, GitHub pokušava pronaći optimalnu ravnotežu između interesa zajednice istraga o sigurnosti i zaštiti potencijalnih žrtava. U ovom je slučaju utvrđeno da objavljivanje eksploatacije pogodne za napade, sve dok postoji veliki broj sistema koji još nisu ažurirani, krši pravila GitHub.
Značajno je da su napadi započeli u januaru, mnogo prije puštanja zakrpe i otkrivanja informacija o ranjivosti (dan 0). Prije objavljivanja prototipa eksploatacije, već je napadnuto oko 100 servera u kojima su ugrađena stražnja vrata za daljinsko upravljanje.
U udaljenom prototipu eksploatacije GitHub demonstrirana je ranjivost CVE-2021-26855 (ProxyLogon), koja vam omogućava izvlačenje podataka od proizvoljnog korisnika bez provjere autentičnosti. U kombinaciji s CVE-2021-27065, ranjivost vam je također omogućila pokretanje koda na serveru s administratorskim pravima.
Nisu uklonjeni svi eksploati, na primjer, pojednostavljena verzija drugog exploita koji je razvio tim GreyOrder ostaje na GitHubu.
Napomena uz eksploataciju ukazuje da je originalni GreyOrder exploit uklonjen nakon dodavanja dodatne funkcije kodu za popis korisnika na mail serveru, koji bi se mogao koristiti za izvršavanje masovnih napada na kompanije koje koriste Microsoft Exchange.