Få dage siden Microsoft modtog en række stærk kritik af mange udviklere efter på GitHub slet koden fra en Exchange xploit Og det er, at selvom det for mange ville være den mest logiske ting, selvom det virkelige problem er, at det var en PoC xplots til patched sårbarheder, som bruges som standard blandt sikkerhedsforskere.
Disse hjælper dem med at forstå, hvordan angreb fungerer, så de kan opbygge bedre forsvar. Denne handling har oprørt mange sikkerhedsforskere, da udnyttelsesprototypen blev frigivet, efter at patch blev frigivet, hvilket er almindelig praksis.
Der er en klausul i GitHub-reglerne, der forbyder placering af ondsindet kode aktiv eller udnytter (dvs. angriber brugeres systemer) i opbevaringssteder, samt brugen af GitHub som en platform til at levere udnyttelser og ondsindet kode i løbet af angreb.
Denne regel er dog ikke tidligere blevet anvendt på prototyper. kode offentliggjort af forskere der er offentliggjort for at analysere angrebsmetoder, efter at sælgeren udgav en patch.
Da sådan kode normalt ikke fjernes, Microsoft opfattede GitHub-aktier f.eks. brugen af en administrativ ressource for at blokere oplysninger om en sårbarhed i dit produkt.
Kritikere har beskyldt Microsoft at have en dobbelt standard og for at censurere indhold af stor interesse for sikkerhedsforskningsmiljøet, simpelthen fordi indholdet er skadeligt for Microsofts interesser.
Ifølge et medlem af Google Project Zero-teamet er praksis med at offentliggøre udnyttelsesprototyper berettiget, og fordelene opvejer risikoen, da der ikke er nogen måde at dele resultaterne af undersøgelsen med andre specialister, så denne information ikke falder ind under angribernes hænder.
En forsker Kryptos Logic forsøgte at argumentere, der påpeger, at i en situation, hvor der stadig er mere end 50 tusind forældede Microsoft Exchange-servere på netværket, offentliggørelsen af udnyttelsesprototyper, der er klar til at udføre angreb, virker tvivlsom.
Skaden, som tidlig frigivelse af exploits kan medføre, opvejer fordelen for sikkerhedsforskere, da sådanne exploits truer et stort antal servere, der endnu ikke har installeret opdateringer.
GitHub-repræsentanter kommenterede fjernelsen som en regelovertrædelse af tjenesten (Acceptable Use Policies) og sagde, at de forstår vigtigheden af at offentliggøre udnytte prototyper til uddannelses- og forskningsformål, men også forstå faren for den skade, de kan forårsage af angribere.
Derfor, GitHub forsøger at finde den optimale balance mellem interesser af samfundet efterforskning af sikkerhed og beskyttelse af potentielle ofre. I dette tilfælde blev det konstateret, at udgivelse af en udnyttelse, der er egnet til angreb, så længe der er et stort antal systemer, der endnu ikke er opdateret, overtræder GitHub-reglerne.
Det er bemærkelsesværdigt, at angrebene begyndte i januar, godt inden frigivelsen af plasteret og afsløringen af oplysninger om sårbarheden (dag 0). Før prototypen af udnyttelsen blev offentliggjort, var omkring 100 servere allerede blevet angrebet, hvor en bagdør til fjernbetjening var installeret.
I en ekstern GitHub-udnyttelsesprototype blev CVE-2021-26855 (ProxyLogon) -sårbarheden demonstreret, hvilket giver dig mulighed for at udtrække data fra en vilkårlig bruger uden godkendelse. I kombination med CVE-2021-27065 tillod sårbarheden dig også at køre din kode på serveren med administratorrettigheder.
Ikke alle bedrifter blev fjernet, for eksempel forbliver en forenklet version af en anden udnyttelse udviklet af GreyOrder-teamet på GitHub.
En note til udnyttelsen indikerer, at den oprindelige GreyOrder-udnyttelse blev fjernet, efter at der blev tilføjet yderligere funktionalitet til koden for at liste brugere på mailserveren, som kunne bruges til at udføre massive angreb mod virksomheder, der bruger Microsoft Exchange.