Microsoft recibe críticas despois de eliminar código dun xploit de Exchange en Github

Hai poucos días Microsoft recibiu unha serie de fortes críticas por moitos desenvolvedores despois en GitHub elimine o código dun xploit de Exchange E é que, a pesar de que para moitos sería o máis lóxico, aínda que o verdadeiro problema é que se trataba dun poC xplots para vulnerabilidades remendadas, que se usan como estándar entre os investigadores en seguridade.

Estes axúdalles a comprender como funcionan os ataques para construír mellores defensas. Esta acción indignou a moitos investigadores en seguridade, xa que o prototipo de explotación lanzouse despois de que o parche se liberase, o que é unha práctica habitual.

Hai unha cláusula nas regras de GitHub que prohibe a colocación de código malicioso activos ou exploits (é dicir, atacando sistemas de usuarios) en repositorios, así como o uso de GitHub como plataforma para entregar exploits e código malicioso no curso dos ataques.

Non obstante, esta regra non se aplicou previamente aos prototipos. de código publicado por investigadores que se publicaron para analizar os métodos de ataque despois de que o vendedor lanzase un parche.

Dado que este código xeralmente non se elimina, Microsoft percibiu as accións de GitHub como usar un recurso administrativo para bloquear información sobre unha vulnerabilidade no seu produto.

Os críticos acusaron a Microsoft ter un dobre estándar e para censurar contido de gran interese para a comunidade de investigadores de seguridade simplemente porque o contido é prexudicial para os intereses de Microsoft.

Segundo un membro do equipo de Google Project Zero, a práctica de publicar prototipos de explotación está xustificada e os beneficios superan o risco, xa que non hai forma de compartir os resultados da investigación con outros especialistas para que esta información non caia nas mans de atacantes.

Un investigador Kryptos Logic intentou argumentar, tendo en conta que nunha situación na que aínda hai máis de 50 mil servidores Microsoft Exchange obsoletos na rede, publicar prototipos de explotación preparados para realizar ataques parece dubidoso.

O dano que pode causar a liberación anticipada de exploits supera o beneficio para os investigadores de seguridade, xa que tales exploits poñen en perigo unha gran cantidade de servidores que aínda non instalaron actualizacións.

Os representantes de GitHub comentaron a eliminación como violación de regras do servizo (Políticas de uso aceptables) e dixeron que entenden a importancia de publicar prototipos de explotación con fins educativos e de investigación, pero tamén entenden o perigo do dano que poden causar en mans dos atacantes.

Polo tanto, GitHub tenta atopar o equilibrio óptimo entre os intereses da comunidade investigación sobre seguridade e protección de posibles vítimas. Neste caso, comprobouse que a publicación dun exploit axeitado para ataques, sempre que haxa un gran número de sistemas que aínda non se actualizaron, viola as regras de GitHub.

Chama a atención que os ataques comezasen en xaneiro, moito antes do lanzamento do parche e a divulgación de información sobre a vulnerabilidade (día 0). Antes de que se publicase o prototipo da explotación, xa foran atacados uns 100 servidores nos que se instalou unha porta traseira para control remoto.

Nun prototipo de explotación remoto de GitHub, demostrouse a vulnerabilidade CVE-2021-26855 (ProxyLogon), o que lle permite extraer datos dun usuario arbitrario sen autenticación. En combinación con CVE-2021-27065, a vulnerabilidade tamén lle permitiu executar o seu código no servidor con dereitos de administrador.

Non se eliminaron todas as fazañas, por exemplo, segue en GitHub unha versión simplificada doutro exploit desenvolvido polo equipo GreyOrder.

Unha nota ao exploit indica que o exploit orixinal de GreyOrder foi eliminado despois de que se engadise funcionalidade adicional ao código para listar aos usuarios no servidor de correo, que podería usarse para realizar ataques masivos contra empresas que utilizan Microsoft Exchange.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.