Hace pocos dias Microsoft recibió una serie de fuertes críticas por parte de muchos desarrolladores después de que en GitHub eliminar el código de un xploit de Exchange y es que aun que para muchos sería lo más logico, aun que verdadero problema es que se trataba de un xplots PoC para vulnerabilidades parcheadas, los cuales son usados como un estándar entre los investigadores de seguridad.
Estos les ayudan a comprender cómo funcionan los ataques para que puedan construir mejores defensas. Esta acción ha indignado a muchos investigadores de seguridad, ya que el prototipo del exploit se publicó después del lanzamiento del parche, que es una práctica común.
Existe una cláusula en las reglas de GitHub que prohíbe la colocación de código malicioso activo o exploits (es decir, atacar los sistemas de los usuarios) en repositorios, así como el uso de GitHub como plataforma para entregar exploits y código malicioso en el curso de los ataques.
Sin embargo, esta regla no se ha aplicado anteriormente a prototipos de código publicados por investigadores que se han publicado para analizar métodos de ataque después de que el proveedor lanzara un parche.
Dado que dicho código generalmente no se elimina, Microsoft percibió las acciones de GitHub como el uso de un recurso administrativo para bloquear información sobre una vulnerabilidad en su producto.
Los críticos han acusado a Microsoft de tener un doble rasero y de censurar contenido de gran interés para la comunidad de investigación de seguridad simplemente porque el contenido es perjudicial para los intereses de Microsoft.
Según un miembro del equipo de Google Project Zero, la práctica de publicar prototipos de exploits está justificada, y los beneficios superan el riesgo, ya que no hay forma de compartir los resultados de la investigación con otros especialistas para que esta información no caiga en manos de atacantes.
Un investigador de Kryptos Logic intentó argumentar, señalando que en una situación en la que aún hay más de 50 mil servidores Microsoft Exchange no actualizados en la red, la publicación de prototipos de exploits listos para llevar a cabo ataques parece dudosa.
El daño que puede causar la publicación temprana de exploits supera el beneficio para los investigadores de seguridad, ya que tales exploits ponen en peligro una gran cantidad de servidores en los que aún no se han instalado actualizaciones.
Los representantes de GitHub comentaron sobre la eliminación como una violación de las reglas del servicio (Políticas de uso aceptable) y dijeron que comprenden la importancia de publicar prototipos de exploits con fines educativos y de investigación, pero también comprenden el peligro del daño que pueden causar en las manos de los atacantes.
Por lo tanto, GitHub intenta encontrar el equilibrio óptimo entre los intereses de la comunidad de investigación en seguridad y la protección de las víctimas potenciales. En este caso, se encontró que la publicación de un exploit apto para ataques, siempre que haya una gran cantidad de sistemas que aún no se han actualizado, viola las reglas de GitHub.
Es de destacar que los ataques comenzaron en enero, mucho antes del lanzamiento del parche y la divulgación de información sobre la vulnerabilidad (día 0). Antes de que se publicara el prototipo del exploit, ya se habían atacado cerca de 100 mil servidores, en los que se instaló una puerta trasera para control remoto.
En un prototipo de exploit remoto de GitHub, se demostró la vulnerabilidad CVE-2021-26855 ( ProxyLogon ), que le permite extraer los datos de un usuario arbitrario sin autenticación. En combinación con CVE-2021-27065, la vulnerabilidad también permitió ejecutar su código en el servidor con derechos de administrador.
No se eliminaron todos los exploits, por ejemplo, una versión simplificada de otro exploit desarrollado por el equipo de GreyOrder permanece en GitHub.
Una nota al exploit indica que el exploit GreyOrder original se eliminó después de que se agregó una funcionalidad adicional al código para enumerar a los usuarios en el servidor de correo, que podrían usarse para llevar a cabo ataques masivos contra empresas que utilizan Microsoft Exchange.