Beberapa hari yang lalu Microsoft menerima serangkaian kritikan yang kuat oleh banyak pembangun selepas di GitHub hapuskan kod dari xploit Exchange Walaupun begitu bagi kebanyakan orang, ini adalah perkara yang paling logik, walaupun masalah sebenarnya adalah ia adalah xplots PoC untuk kelemahan yang ditambal, yang digunakan sebagai standard di kalangan penyelidik keselamatan.
Ini membantu mereka memahami bagaimana serangan berfungsi sehingga mereka dapat membina pertahanan yang lebih baik. Tindakan ini telah membuat marah banyak penyelidik keselamatan, kerana prototaip eksploitasi dilepaskan setelah patch dilepaskan, yang merupakan praktik biasa.
Terdapat klausa dalam peraturan GitHub yang melarang penempatan kod berbahaya aktif atau eksploitasi (iaitu, menyerang sistem pengguna) di repositori, serta penggunaan GitHub sebagai platform untuk menyampaikan eksploitasi dan kod jahat semasa serangan.
Walau bagaimanapun, peraturan ini belum pernah diterapkan pada prototaip. kod yang diterbitkan oleh penyelidik yang telah diterbitkan untuk menganalisis kaedah serangan setelah penjual melepaskan tambalan.
Oleh kerana kod tersebut tidak dikeluarkan, Microsoft merasakan saham GitHub seperti menggunakan sumber pentadbiran untuk menyekat maklumat mengenai kerentanan dalam produk anda.
Pengkritik telah menuduh Microsoft mempunyai standard berganda dan untuk menapis kandungan sangat menarik bagi komuniti penyelidikan keselamatan hanya kerana kandungannya memudaratkan kepentingan Microsoft.
Menurut ahli pasukan Google Project Zero, amalan menerbitkan prototaip eksploit adalah wajar, dan manfaatnya melebihi risiko, kerana tidak ada cara untuk berkongsi hasil penyelidikan dengan pakar lain agar maklumat ini tidak jatuh ke tangan penyerang.
Seorang penyelidik Kryptos Logic cuba membantah, menunjukkan bahawa dalam keadaan di mana masih terdapat lebih daripada 50 ribu pelayan Microsoft Exchange yang ketinggalan zaman di rangkaian, penerbitan prototaip eksploitasi yang siap untuk melakukan serangan nampaknya meragukan.
Kerosakan pelepasan eksploitasi awal dapat menyebabkan keuntungan yang lebih besar bagi penyelidik keselamatan, kerana eksploitasi tersebut membahayakan sebilangan besar pelayan yang masih belum dipasang.
Wakil GitHub mengomentari penghapusan itu sebagai pelanggaran peraturan perkhidmatan tersebut (Dasar Penggunaan yang Boleh Diterima) dan mengatakan bahawa mereka memahami pentingnya menerbitkan prototaip eksploitasi untuk tujuan pendidikan dan penyelidikan, tetapi juga memahami bahaya kerosakan yang dapat ditimbulkan oleh tangan penyerang.
Oleh itu, GitHub berusaha mencari keseimbangan antara minat yang optimum masyarakat siasatan keselamatan dan perlindungan mangsa yang berpotensi. Dalam kes ini, didapati penerbitan eksploit yang sesuai untuk serangan, selama ada sejumlah besar sistem yang belum diperbarui, melanggar peraturan GitHub.
Perlu diperhatikan bahawa serangan itu bermula pada bulan Januari, sebelum pembebasan tambalan dan pendedahan maklumat mengenai kerentanan (hari ke-0). Sebelum prototaip eksploitasi diterbitkan, kira-kira 100 pelayan telah diserang, di mana pintu belakang untuk kawalan jauh dipasang.
Dalam prototaip eksploitasi GitHub jauh, kerentanan CVE-2021-26855 (ProxyLogon) ditunjukkan, yang membolehkan anda mengekstrak data dari pengguna sewenang-wenangnya tanpa pengesahan. Dalam kombinasi dengan CVE-2021-27065, kerentanan juga membolehkan anda menjalankan kod anda di pelayan dengan hak pentadbir.
Tidak semua eksploitasi dikeluarkan, sebagai contoh, versi ringkas eksploitasi lain yang dikembangkan oleh pasukan GreyOrder tetap ada di GitHub.
Catatan untuk mengeksploitasi menunjukkan bahawa eksploitasi GreyOrder yang asli dikeluarkan setelah fungsi tambahan ditambahkan ke dalam kod untuk menyenaraikan pengguna di pelayan surat, yang dapat digunakan untuk melakukan serangan besar-besaran terhadap syarikat yang menggunakan Microsoft Exchange.