Microsoft kritt Kritik nodeems se Code aus engem Exchange xploit op Github ewechgeholl hunn

Puer Deeg virun Microsoft krut eng Serie vu staarke Kritiken vu villen Entwéckler duerno op GitHub läscht de Code vun engem Exchange xploit An et ass datt och wann et fir vill déi logeschst Saach wier, och wann de richtege Problem ass datt et e PoC xplots fir gefléckt Schwachstelle war, déi als Standard bei Sécherheetsfuerscher benotzt ginn.

Dës hëllefen hinnen ze verstoen wéi Attacken funktionnéieren sou datt se besser Verteidegung kënne bauen. Dës Aktioun huet vill Sécherheetsfuerscher rosen, wéi den Exploit Prototyp verëffentlecht gouf nodeems de Patch erauskomm ass, wat üblech ass.

Et gëtt eng Klausel an de GitHub Regelen, déi de Placement vu béisaartege Code verbidden aktiv oder exploitéiert (dat heescht, Ugrëff op d'Benotzer Systemer) a Repositioune, souwéi d'Benotzung vu GitHub als Plattform fir Exploiten a béisaarteg Code am Laaf vun Attacken ze liwweren.

Dës Regel ass awer net virdru fir Prototypen ugewannt ginn. Code verëffentlecht vu Fuerscher déi publizéiert goufen fir Attacke Methoden ze analyséieren nodeems de Verkeefer e Patch verëffentlecht huet.

Well dëse Code normalerweis net ewechgeholl gëtt, Microsoft huet GitHub Aktien ugesinn wéi zum Beispill d'Benotzung vun enger administrativer Ressource fir Informatiounen iwwer eng Schwachstelle an Ärem Produkt ze blockéieren.

Kritiker hu Microsoft virgeworf en Duebelstandard ze hunn an Inhalt zenséieren vu groussen Interesse fir d'Sécherheetsfuerschungsgemeinschaft einfach well den Inhalt schiedlech fir d'Interesse vu Microsoft ass.

Laut engem Member vum Google Project Zero Team ass d'Praxis fir Prototypen exploitéieren gerechtfäerdegt, an d'Virdeeler iwwerweien de Risiko, well et gëtt kee Wee fir d'Fuerschungsresultater mat anere Spezialisten ze deelen, sou datt dës Informatioun net an d'Hänn fällt. vun Ugräifer.

En Enquêteur Kryptos Logic huet probéiert ze streiden, weist drop hin datt an enger Situatioun wou et nach ëmmer méi wéi 50 dausend aktuell Microsoft Exchange Server um Netz sinn, d'Publikatioun vu exploit Prototypen prett fir Attacken duerchzeféieren schéngt zweifelhaft.

De Schued, dee fréizäiteg Verëffentlechung vun Ausnotzen verursaache kann, iwwerweit de Virdeel fir Sécherheetsfuerscher, well sou Ausnotzen eng grouss Zuel vu Serveren a Gefor setzen, op deenen Updates nach net installéiert sinn.

GitHub Reps kommentéiert d'Entféierung als Regelverstouss vum Service (Akzeptabel Benotzungspolitiken) a gesot datt se d'Wichtegkeet vun der Verëffentlechung exploitéieren Prototypen fir edukativ a Fuerschungszwecker verstoen, awer och d'Gefor vum Schued verstoen deen se an den Hänn vun Ugräifer verursaache kënnen.

Dofir ass GitHub probéiert den optimalen Balance tëscht Interessen ze fannen vun der Gemeng Enquête a Sécherheet an de Schutz vu potenziellen Affer. An dësem Fall gouf festgestallt datt en Exploit publizéiert gëeegent fir Attacken, soulaang et eng grouss Zuel vu Systemer gëtt déi nach net aktualiséiert goufen, géint GitHub Regele verstéisst.

Et ass bemierkenswäert datt d'Attacken am Januar ugefaang hunn, wäit virun der Verëffentlechung vum Patch an der Verëffentlechung vun Informatioun iwwer d'Schwachstelle (Dag 0). Ier de Prototyp vum Exploit verëffentlecht gouf, ware scho 100 Server attackéiert ginn, an deenen eng Hannerdier fir eng Fernsteierung installéiert war.

An engem Remote GitHub exploit Prototyp gouf d'CVE-2021-26855 (ProxyLogon) Schwachstelle demonstréiert, sou datt Dir Daten aus engem arbiträre Benotzer ouni Authentifikatioun extrahéiert. A Kombinatioun mam CVE-2021-27065 huet d'Schwachstelle och erlaabt Iech Äre Code um Server mat Administratorrechter auszeféieren.

Net all Exploit goufe geläscht, zum Beispill, eng vereinfacht Versioun vun engem aneren Exploit entwéckelt vum GreyOrder Team bleift op GitHub.

Eng Notiz zum Exploit weist datt den originale GreyOrder Exploit ewechgeholl gouf nodeems zousätzlech Funktionalitéit an de Code bäigefüügt gi fir Benotzer op de Mail Server ze lëschten, déi kënne benotzt gi fir massiv Attacke géint Firmen ze benotze mat Microsoft Exchange.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn.

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.