Microsoft reçoit des critiques après avoir supprimé le code d'un xploit Exchange sur Github

Il ya quelques jours Microsoft a reçu une série de critiques sévères par de nombreux développeurs après sur GitHub, supprimez le code d'un xploit Exchange Et c'est que même si pour beaucoup, ce serait la chose la plus logique, bien que le vrai problème soit qu'il s'agissait d'un Xplots PoC pour les vulnérabilités corrigées, qui sont utilisées comme une norme parmi les chercheurs en sécurité.

Celles-ci les aident à comprendre le fonctionnement des attaques afin de pouvoir construire de meilleures défenses. Cette action a scandalisé de nombreux chercheurs en sécurité, car le prototype de l'exploit a été publié après la publication du correctif, ce qui est une pratique courante.

Il y a une clause dans les règles GitHub qui interdit le placement de code malveillant actifs ou exploits (c'est-à-dire attaquer les systèmes des utilisateurs) dans les référentiels, ainsi que l'utilisation de GitHub comme plate-forme pour livrer des exploits et du code malveillant au cours d'attaques.

Cependant, cette règle n'a pas été appliquée auparavant aux prototypes. de code publié par les chercheurs qui ont été publiés pour analyser les méthodes d'attaque après que le fournisseur a publié un correctif.

Comme ce code n'est généralement pas supprimé, Partages GitHub perçus par Microsoft comme utiliser une ressource administrative pour bloquer les informations sur une vulnérabilité de votre produit.

Les critiques ont accusé Microsoft avoir un double standard et censurer le contenu d'un grand intérêt pour la communauté de recherche en sécurité simplement parce que le contenu est préjudiciable aux intérêts de Microsoft.

Selon un membre de l'équipe Google Project Zero, la pratique de publier des prototypes d'exploit est justifiée et les avantages l'emportent sur le risque, car il n'y a aucun moyen de partager les résultats de la recherche avec d'autres spécialistes afin que ces informations ne tombent pas entre les mains. des attaquants.

Un enquêteur Kryptos Logic essaya d'argumenter, soulignant que dans une situation où il y a encore plus de 50 serveurs Microsoft Exchange obsolètes sur le réseau, publier des prototypes d'exploit prêts à mener des attaques semble douteux.

Le préjudice que la publication anticipée d'exploits peut causer l'emporte sur les avantages pour les chercheurs en sécurité, car de tels exploits mettent en danger un grand nombre de serveurs sur lesquels les mises à jour n'ont pas encore été installées.

Les représentants GitHub ont commenté la suppression en tant que violation de règle du service (Politiques d'utilisation acceptable) et a déclaré comprendre l'importance de publier des prototypes d'exploit à des fins éducatives et de recherche, mais également comprendre le danger des dommages qu'ils peuvent causer aux attaquants.

Par conséquent, GitHub essaie de trouver l'équilibre optimal entre les intérêts de la communauté enquête sur la sécurité et la protection des victimes potentielles. Dans ce cas, il a été constaté que la publication d'un exploit adapté aux attaques, tant qu'il y a un grand nombre de systèmes qui n'ont pas encore été mis à jour, enfreint les règles de GitHub.

Il est à noter que les attaques ont débuté en janvier, bien avant la sortie du patch et la divulgation des informations sur la vulnérabilité (jour 0). Avant la publication du prototype de l'exploit, environ 100 XNUMX serveurs avaient déjà été attaqués, dans lesquels une porte dérobée pour le contrôle à distance avait été installée.

Dans un prototype d'exploit GitHub distant, la vulnérabilité CVE-2021-26855 (ProxyLogon) a été démontrée, ce qui vous permet d'extraire des données d'un utilisateur arbitraire sans authentification. En combinaison avec CVE-2021-27065, la vulnérabilité vous a également permis d'exécuter votre code sur le serveur avec des droits d'administrateur.

Tous les exploits n'ont pas été supprimés, par exemple, une version simplifiée d'un autre exploit développé par l'équipe GreyOrder reste sur GitHub.

Une note à l'exploit indique que l'exploit original de GreyOrder a été supprimé après l'ajout de fonctionnalités supplémentaires au code pour répertorier les utilisateurs sur le serveur de messagerie, ce qui pourrait être utilisé pour mener des attaques massives contre des entreprises utilisant Microsoft Exchange.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.