Microsoft는 Github의 Exchange xploit에서 코드를 제거한 후 비판을받습니다.

몇일 전에 Microsoft는 일련의 강력한 비판을 받았습니다. 많은 개발자에 의해 GitHub에서 Exchange xploit에서 코드를 삭제 한 후 그리고 대부분의 경우 가장 논리적 일 수 있지만 실제 문제는 보안 연구원들 사이에서 표준으로 사용되는 패치 된 취약점에 대한 PoC xplots라는 것입니다.

이를 통해 공격이 작동하는 방식을 이해하여 더 나은 방어를 구축 할 수 있습니다. 이 작업은 패치가 출시 된 후 익스플로잇 프로토 타입이 출시 되었기 때문에 많은 보안 연구자들을 격분 시켰습니다.

GitHub 규칙에 악성 코드의 배치를 금지하는 조항이 있습니다. 리포지토리의 활성 또는 악용 (즉, 사용자 시스템 공격), 공격 과정에서 악용 및 악성 코드를 전달하기위한 플랫폼으로 GitHub 사용.

그러나이 규칙은 이전에 프로토 타입에 적용되지 않았습니다. 연구자가 발표 한 코드 수 공급 업체가 패치를 출시 한 후 공격 방법을 분석하기 위해 게시되었습니다.

이러한 코드는 일반적으로 제거되지 않으므로 Microsoft가 인식 한 GitHub 공유 관리 자원 사용과 같은 제품의 취약성에 대한 정보를 차단하기 위해.

비평가들은 Microsoft를 비난했습니다 이중 기준을 가지고 콘텐츠 검열 그 내용이 Microsoft의 이익에 해롭다는 이유만으로 보안 연구 커뮤니티에 큰 관심을 끌었습니다.

Google Project Zero 팀의 일원에 따르면 익스플로잇 프로토 타입을 게시하는 관행이 정당하며이 정보가 손에 들어 가지 않도록 다른 전문가와 연구 결과를 공유 할 방법이 없기 때문에 이점이 위험보다 큽니다. 공격자의.

연구원 Kryptos Logic은 다음과 같이 주장했습니다. 네트워크에 여전히 오래된 Microsoft Exchange 서버가 50 만 대 이상있는 상황에서 공격을 수행 할 준비가 된 익스플로잇 프로토 타입을 게시하는 것은 모호해 보입니다.

이러한 익스플로잇은 아직 업데이트를 설치하지 않은 많은 서버를 위험에 빠뜨리기 때문에 익스플로잇의 초기 릴리스로 인해 발생할 수있는 피해는 보안 연구원의 이점보다 큽니다.

GitHub 담당자가 규칙 위반으로 삭제에 대해 언급했습니다. (Acceptable Use Policies)에 대해 설명하고 교육 및 연구 목적으로 익스플로잇 프로토 타입 게시의 중요성을 이해하고있을뿐만 아니라 공격자의 손에 발생할 수있는 피해의 위험도 이해한다고 말했습니다.

따라서, GitHub는 관심사 간의 최적 균형을 찾으려고합니다. 커뮤니티의 보안 조사 및 잠재적 피해자 보호. 이 경우 아직 업데이트되지 않은 시스템이 많은 한 공격에 적합한 익스플로잇을 게시하면 GitHub 규칙을 위반하는 것으로 확인되었습니다.

공격이 패치가 출시되고 취약성에 대한 정보가 공개되기 훨씬 전인 0 월에 시작된 것은 주목할 만합니다 (100 일). 익스플로잇 프로토 타입이 공개되기 전에 이미 약 XNUMX 대의 서버가 공격을 받았으며 여기에는 원격 제어를위한 백도어가 설치되었습니다.

원격 GitHub 익스플로잇 프로토 타입에서 CVE-2021-26855 (ProxyLogon) 취약성이 입증되어 인증없이 임의 사용자로부터 데이터를 추출 할 수 있습니다. CVE-2021-27065와 함께이 취약점을 통해 관리자 권한으로 서버에서 코드를 실행할 수도 있습니다.

모든 익스플로잇이 제거 된 것은 아닙니다. 예를 들어, GreyOrder 팀이 개발 한 다른 익스플로잇의 단순화 된 버전은 GitHub에 남아 있습니다.

익스플로잇에 대한 참고 사항은 메일 서버의 사용자를 나열하는 코드에 추가 기능이 추가 된 후 원래 GreyOrder 익스플로잇이 제거되었음을 나타냅니다. 이는 Microsoft Exchange를 사용하는 회사에 대한 대규모 공격을 수행하는 데 사용될 수 있습니다.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.