Fa pocs dies Microsoft va rebre una sèrie de fortes crítiques per part de molts desenvolupadors després que a GitHub eliminar el codi d'un xploit d'Exchange i és que tot i que per a molts seria el més lògic, encara que veritable problema és que es tractava d'un xplots PoC per a vulnerabilitats pegats, els quals són usats com un estàndard entre els investigadors de seguretat.
Aquests els ajuden a comprendre com funcionen els atacs perquè puguin construir millors defenses. Aquesta acció ha indignat molts investigadors de seguretat, ja que el prototip de l'exploit es va publicar després del llançament del pegat, que és una pràctica comuna.
Hi ha una clàusula a les regles de GitHub que prohibeix la col·locació de codi maliciós actiu o exploits (és a dir, atacar els sistemes dels usuaris) a repositoris, així com l'ús de GitHub com a plataforma per lliurar exploits i codi maliciós en el curs dels atacs.
Tot i això, aquesta regla no s'ha aplicat anteriorment a prototips de codi publicats per investigadors que s'han publicat per analitzar mètodes d'atac després que el proveïdor llancés un pegat.
Com que aquest codi generalment no s'elimina, Microsoft va percebre les accions de GitHub com l'ús d'un recurs administratiu per bloquejar informació sobre una vulnerabilitat al vostre producte.
Els crítics han acusat Microsoft de tenir un doble raser i de censurar contingut de gran interès per a la comunitat de recerca de seguretat simplement perquè el contingut és perjudicial per als interessos de Microsoft.
Segons un membre de l'equip de Google Project Zero, la pràctica de publicar prototips d'exploits està justificada, i els beneficis superen el risc, ja que no hi ha manera de compartir els resultats de la investigació amb altres especialistes perquè aquesta informació no caigui en mans d'atacants.
Un investigador de Kryptos Logic va intentar argumentar, assenyalant que en una situació en què encara hi ha més de 50 mil servidors Microsoft Exchange no actualitzats a la xarxa, la publicació de prototips d'exploits llestos per dur a terme atacs sembla dubtosa.
El dany que pot causar la publicació primerenca d'exploits supera el benefici per als investigadors de seguretat, ja que aquests exploits posen en perill una gran quantitat de servidors on encara no s'han instal·lat actualitzacions.
Els representants de GitHub van comentar sobre l'eliminació com una violació de les regles del servei (Polítiques d'ús acceptable) i van dir que comprenen la importància de publicar prototips d'exploits amb finalitats educatives i de recerca, però també comprenen el perill del dany que poden causar a les mans dels atacants.
Per tant, GitHub intenta trobar l'equilibri òptim entre els interessos de la comunitat de recerca en seguretat i la protecció de les víctimes potencials. En aquest cas, es va trobar que la publicació d'un exploit apte per a atacs, sempre que hi hagi una gran quantitat de sistemes que encara no s'han actualitzat viola les regles de GitHub.
Cal destacar que els atacs van començar al gener, molt abans del llançament del pegat i la divulgació d'informació sobre la vulnerabilitat (dia 0). Abans que es publiqués el prototip de l'exploit, ja s'havien atacat prop de 100 mil servidors, en què es va instal·lar una porta del darrere per a control remot.
En un prototip d'exploit remot de GitHub, es va demostrar la vulnerabilitat CVE-2021-26855 ( ProxyLogon ), que permet extreure les dades d'un usuari arbitrari sense autenticació. En combinació amb CVE-2021-27065, la vulnerabilitat també va permetre executar el codi al servidor amb drets d'administrador.
No s'han eliminat tots els exploits, per exemple, una versió simplificada d'un altre exploit desenvolupat per l'equip de GreyOrder roman a GitHub.
Una nota a l'exploit indica que l'exploit GreyOrder original es va eliminar després que es va afegir una funcionalitat addicional al codi per enumerar els usuaris al servidor de correu, que podrien utilitzar-se per dur a terme atacs massius contra empreses que utilitzen Microsoft Exchange.