Muutama päivä sitten Microsoft sai sarjan voimakasta kritiikkiä monet kehittäjät GitHubin jälkeen poista koodi Exchange xploitista Ja se on, vaikka monille se olisi loogisinta, vaikka todellinen ongelma on, että se oli PoC-xplot-korjaustiedostoja korjatuille haavoittuvuuksille, joita käytetään vakiona turvallisuustutkijoiden keskuudessa.
Nämä auttavat heitä ymmärtämään hyökkäysten toimintaa, jotta he voivat rakentaa parempia puolustuksia. Tämä toiminta on suututtanut monia turvallisuustutkijoita, koska hyväksikäytön prototyyppi julkaistiin korjaustiedoston julkaisemisen jälkeen, mikä on yleistä käytäntöä.
GitHub-säännöissä on lauseke, joka kieltää haitallisen koodin sijoittamisen aktiivinen tai hyväksikäyttö (eli hyökkäys käyttäjien järjestelmiin) arkistoissa sekä GitHubin käyttö alustana hyökkäysten aikana tapahtuvan hyväksikäytön ja haitallisen koodin toimittamiseksi.
Tätä sääntöä ei kuitenkaan ole aiemmin sovellettu prototyyppeihin. tutkijoiden julkaisema koodi jotka on julkaistu hyökkäystapojen analysoimiseksi sen jälkeen, kun myyjä on julkaissut korjaustiedoston.
Koska tällaista koodia ei yleensä poisteta, Microsoft koki GitHub-osakkeet kuten hallinnollisen resurssin käyttäminen estääksesi tuotteen haavoittuvuuden.
Kriitikot ovat syyttäneet Microsoftia saada kaksinkertainen standardi ja sensuroida sisältöä kiinnostaa suuresti tietoturvatutkimusyhteisöä yksinkertaisesti siksi, että sisältö vahingoittaa Microsoftin etuja.
Google Project Zero -tiimin jäsenen mukaan käytäntö hyödyntää prototyyppejä on perusteltua, ja hyödyt ovat suuremmat kuin riski, koska tutkimustuloksia ei ole mahdollista jakaa muiden asiantuntijoiden kanssa, jotta nämä tiedot eivät pääse käsiksi hyökkääjiä.
Tutkija Kryptos Logic yritti väittää, huomauttaa, että tilanteessa, jossa verkossa on edelleen yli 50 tuhatta vanhentunutta Microsoft Exchange -palvelinta, Hyökkäyksiin valmiiden prototyyppien julkaiseminen vaikuttaa kyseenalaiselta.
Hyödykkeiden ennenaikaisesta julkaisemisesta mahdollisesti aiheutuva vahinko on suurempi kuin turvallisuustutkijoille koituva hyöty, sillä tällaiset hyväksikäytöt vaarantavat suuren määrän palvelimia, joihin päivityksiä ei ole vielä asennettu.
GitHub-edustajat kommentoivat poistoa säännönvastaisena (Hyväksyttävän käytön käytännöt) ja sanoivat ymmärtävänsä prototyyppien hyödyntämisen tärkeyden koulutus- ja tutkimustarkoituksiin, mutta ymmärtävät myös vaaran, jonka vahingot voivat aiheuttaa hyökkääjille.
Näin ollen, GitHub yrittää löytää optimaalisen tasapainon etujen välillä yhteisön turvallisuuden ja mahdollisten uhrien suojelun tutkiminen. Tässä tapauksessa havaittiin, että hyökkäyksiin sopivan hyödyntämisen julkaiseminen rikkoo GitHub-sääntöjä, kunhan on olemassa paljon järjestelmiä, joita ei ole vielä päivitetty.
On huomionarvoista, että hyökkäykset alkoivat tammikuussa, paljon ennen korjaustiedoston julkaisua ja haavoittuvuutta koskevien tietojen paljastamista (päivä 0). Ennen hyödyntämisen prototyypin julkaisemista oli jo hyökätty noin 100 XNUMX palvelinta, joihin oli asennettu takaoven kaukosäädin.
GitHub-etäkäytön prototyypissä osoitettiin CVE-2021-26855 (ProxyLogon) -heikkous, jonka avulla voit poimia tietoja mielivaltaiselta käyttäjältä ilman todennusta. Yhdessä CVE-2021-27065: n kanssa haavoittuvuus mahdollisti myös koodin suorittamisen palvelimella järjestelmänvalvojan oikeuksilla.
Kaikkia hyökkäyksiä ei poistettu, esimerkiksi yksinkertaistettu versio toisesta GreyOrder-tiimin kehittämästä hyväksikäytöstä pysyy GitHubissa.
Huomautus hyödyntämiseen osoittaa, että alkuperäinen GreyOrder-hyväksikäyttö poistettiin sen jälkeen, kun koodiin lisättiin lisätoiminnot käyttäjien luetteloimiseksi postipalvelimella, joita voitiin käyttää massiivisten hyökkäysten tekemiseksi Microsoft Exchangea käyttäville yrityksille.