מיקרוסופט זוכה לביקורת לאחר הסרת קוד מ- xploit של Exchange ב- Github

לפני כמה ימים מיקרוסופט קיבלה סדרה של ביקורות נוקבות על ידי מפתחים רבים אחרי ב- GitHub מחק את הקוד מ- xploit של Exchange וזה שלמרות שלרבים זה יהיה הדבר ההגיוני ביותר, אם כי הבעיה האמיתית היא שזה היה עלילות PoC לפגיעות מתוקנות, המשמשות כסטנדרט בקרב חוקרי אבטחה.

אלה עוזרים להם להבין כיצד פועלות התקפות כדי שיוכלו לבנות הגנות טובות יותר. פעולה זו עוררה את זעמם של חוקרי אבטחה רבים, מכיוון שאב טיפוס הניצול שוחרר לאחר שחרורו של התיקון, וזה נהוג.

יש סעיף בכללי GitHub האוסר על הצבת קוד זדוני פעיל או ניצול (כלומר, תקיפת מערכות משתמשים) במאגרים, כמו גם שימוש ב- GitHub כפלטפורמה למסירת ניצולים וקוד זדוני במהלך ההתקפות.

עם זאת, כלל זה לא הוחל בעבר על אבות טיפוס. קוד שפורסם על ידי חוקרים שפורסמו לניתוח שיטות התקפה לאחר שהספק שחרר תיקון.

מכיוון שקוד כזה בדרך כלל לא מוסר, מיקרוסופט תפסה את מניות GitHub כמו שימוש במשאב מנהלי כדי לחסום מידע על פגיעות במוצר שלך.

מבקרים האשימו את מיקרוסופט שיהיה סטנדרט כפול ו לצנזר תוכן עניין רב בקהילת חוקרי האבטחה פשוט מכיוון שהתוכן פוגע באינטרסים של מיקרוסופט.

לדברי חבר בצוות Google Project Zero, הנוהל לפרסם אבות טיפוס מנוצלים מוצדק, והיתרונות עולים על הסיכון, מכיוון שאין דרך לחלוק את תוצאות החקירה עם מומחים אחרים כדי שמידע זה לא ייפול ידי התוקפים.

חוקר Kryptos Logic ניסה להתווכח, מציין שבמצב בו עדיין ישנם יותר מ -50 אלף שרתי Microsoft Exchange מיושנים ברשת, פרסום פרוטוטייפי ניצול מוכנים לביצוע מתקפות נראה מפוקפק.

הנזק שגרור שחרור מוקדם של ניצולים עשוי להכריע את התועלת לחוקרי אבטחה, מכיוון שמעללים כאלה מסכנים מספר רב של שרתים שעדיין לא הותקנו עליהם עדכונים.

נציגי GitHub הגיבו על ההסרה כהפרה של הכלל של השירות (מדיניות שימוש מקובל) ואמרו כי הם מבינים את החשיבות של פרסום אבות-טיפוס למטרות חינוך ומחקר, אך מבינים גם את סכנת הנזק שהם עלולים לגרום בידי תוקפים.

לכן, GitHub מנסה למצוא את האיזון האופטימלי בין תחומי העניין של הקהילה חקירת אבטחה והגנה על קורבנות פוטנציאליים. במקרה זה נמצא כי פרסום ניצול מתאים להתקפות, כל עוד יש מספר רב של מערכות שטרם עודכנו, מפר את כללי GitHub.

ראוי לציין כי ההתקפות החלו בינואר, הרבה לפני שחרור התיקון וחשיפת מידע אודות הפגיעות (יום 0). לפני פרסום אב-הטיפוס של הנצל, כבר הותקפו כ -100 שרתים, בהם הותקנה דלת אחורית לשליטה מרחוק.

באב-טיפוס מרוחק של GitHub לנצל, הודגמה הפגיעות של CVE-2021-26855 (ProxyLogon) המאפשרת לך לחלץ נתונים ממשתמש שרירותי ללא אימות. בשילוב עם CVE-2021-27065, הפגיעות אפשרה לך גם להריץ את הקוד שלך בשרת עם זכויות מנהל.

לא כל המעללים הוסרו, לדוגמה, גרסה פשוטה של ​​ניצול אחר שפותח על ידי צוות GreyOrder נותרה ב- GitHub.

הערה לניצול מצביע על כך שהניצול המקורי של GreyOrder הוסר לאחר שנוספה פונקציונליות נוספת לקוד כדי לרשום משתמשים בשרת הדואר, שניתן להשתמש בהם כדי לבצע התקפות עצומות נגד חברות המשתמשות ב- Microsoft Exchange.


תוכן המאמר עומד בעקרונותינו של אתיקה עריכתית. כדי לדווח על שגיאה לחץ כאן.

היה הראשון להגיב

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.