Pirms dažām dienām Microsoft saņēma virkni spēcīgas kritikas daudzi izstrādātāji pēc vietnē GitHub izdzēsiet kodu no Exchange xploit Un tas ir tas, ka, kaut arī daudziem tas būtu loģiskākais, lai gan patiesā problēma ir tā, ka tie bija PoC xploti, kas paredzēti lāpītām ievainojamībām, kurus drošības pētnieku vidū izmanto kā standartu.
Tas viņiem palīdz saprast uzbrukumu darbību, lai viņi varētu veidot labāku aizsardzību. Šī darbība ir sašutusi daudzus drošības pētniekus, jo ekspluatācijas prototips tika izlaists pēc plākstera izlaišanas, kas ir izplatīta prakse.
GitHub noteikumos ir klauzula, kas aizliedz izvietot ļaunprātīgu kodu aktīvs vai izmanto (tas ir, uzbrukums lietotāju sistēmām) krātuvēs, kā arī GitHub izmantošana kā platforma, lai uzbrukumu laikā piegādātu ekspluatāciju un ļaunprātīgu kodu.
Tomēr šis noteikums iepriekš nav piemērots prototipiem. pētnieku publicēto kodu kas ir publicēti, lai analizētu uzbrukuma metodes pēc tam, kad pārdevējs izlaida plāksteri.
Tā kā šāds kods parasti netiek noņemts, Microsoft uztvēra GitHub akcijas piemēram, izmantojot administratīvo resursu lai bloķētu informāciju par jūsu produkta ievainojamību.
Kritiķi apsūdz Microsoft lai būtu dubultstandarts un cenzēt saturu lielu interesi drošības pētījumu sabiedrībai tikai tāpēc, ka saturs kaitē Microsoft interesēm.
Pēc Google Project Zero komandas dalībnieka domām, prototipu publicēšanas prakse ir pamatota, un ieguvumi atsver risku, jo nav iespējas dalīties izmeklēšanas rezultātos ar citiem speciālistiem, lai šī informācija neiekristu uzbrucēju rokas.
Pētnieks Kryptos Logic mēģināja strīdēties, norādot, ka situācijā, kad tīklā joprojām ir vairāk nekā 50 tūkstoši novecojušu Microsoft Exchange serveru, uzbrukumu gatavu prototipu publicēšana šķiet apšaubāma.
Kaitējums, ko var izraisīt priekšlaicīga ekspluatācijas izlaišana, ir lielāks par ieguvumu drošības pētniekiem, jo šādi ekspluatācijas gadījumi apdraud lielu skaitu serveru, kuros atjauninājumi vēl nav instalēti.
GitHub reps komentēja noņemšanu kā likumpārkāpumu (Pieņemamās lietošanas politikas) un teica, ka viņi saprot prototipu publicēšanas nozīmi izglītības un pētniecības nolūkos, bet arī izprot kaitējuma risku, ko tie var radīt uzbrucēju rokās.
Tāpēc, GitHub mēģina atrast optimālo līdzsvaru starp interesēm sabiedrības drošības un potenciālo upuru aizsardzības izmeklēšana. Šajā gadījumā tika konstatēts, ka uzbrukumiem piemērota izmantojuma publicēšana, ja vien ir liels skaits sistēmu, kas vēl nav atjauninātas, pārkāpj GitHub noteikumus.
Jāatzīmē, ka uzbrukumi sākās janvārī, krietni pirms plākstera izlaišanas un informācijas par ievainojamību atklāšanas (0. diena). Pirms ekspluatācijas prototipa publicēšanas jau bija uzbrukts aptuveni 100 XNUMX serveriem, kuros tika uzstādītas aizmugurējās vadības aizmugures durvis.
Attālā GitHub ekspluatācijas prototipā tika parādīta ievainojamība CVE-2021-26855 (ProxyLogon), kas ļauj iegūt datus no patvaļīga lietotāja bez autentifikācijas. Kopā ar CVE-2021-27065 ievainojamība arī ļāva palaist kodu serverī ar administratora tiesībām.
Ne visi varoņdarbi tika noņemti, piemēram, GitHub paliek cita GreyOrder komandas izstrādātā vienkāršotā versija.
Piezīme par izmantošanu norāda, ka sākotnējais GreyOrder izmantojums tika noņemts pēc tam, kad kodam tika pievienota papildu funkcionalitāte, lai uzskaitītu lietotājus pasta serverī, ko varētu izmantot, lai veiktu masveida uzbrukumus uzņēmumiem, kuri izmanto Microsoft Exchange.