Microsoft riceve critiche dopu a rimozione di u codice da un Exchange xploit in Github

Pochi ghjorni fà Microsoft hà ricevutu una seria di critiche forti da parechji sviluppatori dopu à GitHub sguassate u codice da un Exchange xploit È hè chì ancu se per parechji seria a cosa più logica, ancu se u veru prublema hè chì si trattava di un poC xplots per vulnerabilità patch, chì sò aduprati cum'è standard trà i ricercatori di sicurezza.

Queste l'aiutanu à capisce cumu funzionanu l'attacchi per pudè custruisce difese megliu. Questa azzione hà scandalizatu assai circadori in securità, postu chì u prototipu di sfruttamentu hè statu liberatu dopu a liberazione di u patch, chì hè una pratica cumuna.

Ci hè una clausula in e regule GitHub chì pruibisce u piazzamentu di codice maliziosu attivu o sfruttamentu (vale à dì, attaccendu i sistemi di l'utilizatori) in repositori, è ancu l'usu di GitHub cum'è piattaforma per trasmette sfruttamenti è codice maliziosu in u corsu di l'attacchi.

Tuttavia, sta regula ùn hè micca stata prima applicata à i prototipi. di codice publicatu da circadori chì sò stati publicati per analizà i metudi di attaccu dopu chì u venditore hà liberatu un patch.

Postu chì un tale codice ùn hè generalmente micca eliminatu, Microsoft hà percepitu l'azzioni di GitHub cum'è aduprà una risorsa amministrativa per bluccà l'infurmazioni nantu à una vulnerabilità in u vostru pruduttu.

I critichi anu accusatu Microsoft avè un doppiu standard è per censurà u cuntenutu di grande interessu per a cumunità di ricerca in securità solu perchè u cuntenutu hè preghjudiziu à l'interessi di Microsoft.

Sicondu un membru di a squadra Google Project Zero, a pratica di publicazione di sfruttà prototipi hè ghjustificata, è i vantaghji supraneghjanu u risicu, postu chì ùn ci hè manera di sparte i risultati di a ricerca cù altri spezialisti affinchì st'infurmazione ùn falessi in manu di attaccanti.

Un investigatore Kryptos Logic hà pruvatu à discutà, nutendu chì in una situazione induve ci sò ancu più di 50 mila servitori Microsoft Exchange obsoleti in a reta, publicà sfruttà prototipi pronti à fà attacchi pare dubbiosu.

U dannu chì a liberazione anticipata di sfruttamenti pò causà supera u benefiziu per i ricercatori di sicurezza, postu chì tali sfruttamenti mettenu in periculu un gran numeru di servitori chì ùn anu ancu installatu aggiornamenti.

I repertorii di GitHub anu cummentatu a rimozione cum'è una violazione di regula di u serviziu (Politiche d'Utilizazione Accettabili) è hà dettu ch'elli capiscenu l'importanza di publicà sfruttà prototipi per scopi educativi è di ricerca, ma capiscenu ancu u periculu di i danni ch'elli ponu causà in manu à l'attaccanti.

Cusì, GitHub prova à truvà l'equilibriu ottimali trà interessi di a cumunità investigazione nantu à a sicurezza è a prutezzione di e vittime potenziali. In questu casu, hè statu trovu chì a publicazione di un sfruttamentu adattatu per l'attacchi, puru chì ci sia un gran numeru di sistemi chì ùn sò ancu stati aggiornati, viola e regule di GitHub.

Hè rimarcatu chì l'attacchi anu cuminciatu in ghjennaghju, bellu prima di a liberazione di u patch è a divulgazione di informazioni nantu à a vulnerabilità (ghjornu 0). Nanzu à a publicazione di u prototipu di u sfruttamentu, circa 100 servitori eranu dighjà stati attaccati, in cui era stallata una porta di daretu per u cuntrollu à distanza.

In un prototipu di sfruttamentu GitHub remoto, a vulnerabilità CVE-2021-26855 (ProxyLogon) hè stata dimustrata, chì vi permette di estrarre dati da un utilizatore arbitrariu senza autentificazione. In cumbinazione cù CVE-2021-27065, a vulnerabilità hà ancu permessu di eseguisce u vostru còdice nantu à u servitore cù diritti di amministratore.

Micca tutti i sfruttamenti sò stati rimossi, per esempiu, una versione simplificata di un altru sfruttamentu sviluppatu da a squadra GreyOrder ferma nantu à GitHub.

Una nota à u sfruttamentu indica chì u sfruttamentu uriginale di GreyOrder hè statu eliminatu dopu chì a funzionalità supplementare sia stata aghjunta à u codice per elencà l'utenti in u servitore di posta, chì puderia esse aduprata per fà attacchi massivi contr'à e cumpagnie chì utilizanu Microsoft Exchange.


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

Sianu the first to comment

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu.

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.