数日前 マイクロソフトは一連の強い批判を受けました 多くの開発者による GitHubで、Exchangexploitからコードを削除した後 そして、それは多くの人にとって最も論理的なことですが、本当の問題は、セキュリティ研究者の間で標準として使用されているパッチ適用された脆弱性のPoCxplotsであったということです。
これらは、攻撃がどのように機能するかを理解するのに役立ち、より優れた防御を構築できます。 パッチがリリースされた後にエクスプロイトプロトタイプがリリースされたため、このアクションは多くのセキュリティ研究者を怒らせました。これは一般的な方法です。
GitHubルールには、悪意のあるコードの配置を禁止する条項があります リポジトリ内のアクティブまたはエクスプロイト(つまり、ユーザーのシステムを攻撃する)、および攻撃の過程でエクスプロイトと悪意のあるコードを配信するためのプラットフォームとしてのGitHubの使用。
ただし、このルールは以前はプロトタイプに適用されていませんでした。 研究者によって公開されたコードの ベンダーがパッチをリリースした後、攻撃方法を分析するために公開されています。
このようなコードは通常削除されないため、 MicrosoftはGitHub株を認識しました 管理リソースを使用するような 製品の脆弱性に関する情報をブロックする.
批評家はマイクロソフトを非難しました 二重基準を持ち、 コンテンツを検閲する コンテンツがマイクロソフトの利益に有害であるという理由だけで、セキュリティ研究コミュニティにとって非常に興味深いものです。
Google Project Zeroチームのメンバーによると、エクスプロイトプロトタイプを公開する慣行は正当化され、他の専門家と研究結果を共有してこの情報が手に入らないようにする方法がないため、メリットはリスクを上回ります。攻撃者の。
研究者 Kryptos Logicは、次のように主張しようとしました。 ネットワーク上にまだ50万台を超える古いMicrosoftExchangeサーバーが存在する状況では、 攻撃を実行する準備ができているエクスプロイトプロトタイプを公開することは疑わしいようです。
エクスプロイトの早期リリースが引き起こす可能性のある害は、セキュリティ研究者にとってのメリットを上回ります。このようなエクスプロイトは、更新プログラムがまだインストールされていない多数のサーバーを危険にさらすからです。
GitHubの担当者は、ルール違反としての削除についてコメントしました サービス(利用規定)の概要を説明し、教育および研究目的でエクスプロイトプロトタイプを公開することの重要性を理解しているだけでなく、攻撃者の手に渡って引き起こされる可能性のある損害の危険性も理解していると述べました。
そのため、 GitHubは、利益間の最適なバランスを見つけようとします コミュニティの セキュリティと潜在的な被害者の保護に関する調査。 この場合、まだ更新されていないシステムが多数ある限り、攻撃に適したエクスプロイトを公開すると、GitHubのルールに違反することが判明しました。
パッチのリリースと脆弱性に関する情報の開示(0日目)のかなり前の100月に攻撃が開始されたことは注目に値します。 エクスプロイトのプロトタイプが公開される前に、約XNUMX台のサーバーがすでに攻撃されており、リモートコントロール用のバックドアがインストールされていました。
リモートのGitHubエクスプロイトプロトタイプで、CVE-2021-26855(ProxyLogon)の脆弱性が実証され、認証なしで任意のユーザーからデータを抽出できるようになりました。 この脆弱性は、CVE-2021-27065と組み合わせて、管理者権限でサーバー上でコードを実行することも可能にしました。
すべてのエクスプロイトが削除されたわけではありません。 たとえば、GreyOrderチームによって開発された別のエクスプロイトの簡略版がGitHubに残っています。
このエクスプロイトに関する注記は、メールサーバー上のユーザーを一覧表示する機能がコードに追加された後、元のGreyOrderエクスプロイトが削除されたことを示しています。これは、MicrosoftExchangeを使用する企業に対して大規模な攻撃を実行するために使用される可能性があります。