Noen dager siden Microsoft mottok en serie med sterk kritikk av mange utviklere etter på GitHub slett koden fra en Exchange xploit Og det er at selv om det for mange ville være den mest logiske tingen, selv om det virkelige problemet er at det var en PoC-plott for oppdaterte sårbarheter, som brukes som standard blant sikkerhetsforskere.
Disse hjelper dem med å forstå hvordan angrep fungerer slik at de kan bygge bedre forsvar. Denne handlingen har opprørt mange sikkerhetsforskere, da utnyttelsesprototypen ble utgitt etter at lappen ble utgitt, noe som er vanlig praksis.
Det er en klausul i GitHub-reglene som forbyr plassering av ondsinnet kode aktiv eller utnytter (det vil si angripe brukernes systemer) i depoter, samt bruk av GitHub som en plattform for å levere utnyttelser og ondsinnet kode i løpet av angrep.
Imidlertid har denne regelen ikke tidligere blitt brukt på prototyper. kode publisert av forskere som er publisert for å analysere angrepsmetoder etter at leverandøren ga ut en oppdatering.
Siden slik kode vanligvis ikke fjernes, Microsoft oppfattet GitHub-aksjer som bruk av en administrativ ressurs for å blokkere informasjon om et sårbarhet i produktet ditt.
Kritikere har anklaget Microsoft å ha en dobbel standard og for å sensurere innhold av stor interesse for sikkerhetsforskningsmiljøet bare fordi innholdet er skadelig for Microsofts interesser.
I følge et medlem av Google Project Zero-teamet er praksisen med å publisere utnyttede prototyper rettferdiggjort, og fordelene oppveier risikoen, siden det ikke er noen måte å dele forskningsresultatene med andre spesialister slik at denne informasjonen ikke faller i hendene av angripere.
En etterforsker Kryptos Logic prøvde å argumentere, påpeker at i en situasjon der det fortsatt er mer enn 50 tusen utdaterte Microsoft Exchange-servere på nettverket, publikasjonen av utnyttelsesprototyper som er klare til å utføre angrep virker tvilsom.
Skaden som tidlig frigjøring av utnyttelser kan medføre, oppveier fordelen for sikkerhetsforskere, da slike utnyttelser truer et stort antall servere som oppdateringer ennå ikke er installert på.
GitHub-representanter kommenterte fjerningen som regelbrudd av tjenesten (Acceptable Use Policies) og sa at de forstår viktigheten av å publisere utnytter prototyper for utdannings- og forskningsformål, men forstår også faren for skaden de kan forårsake av angriperne.
Derfor, GitHub prøver å finne den optimale balansen mellom interesser av samfunnet etterforskning av sikkerhet og beskyttelse av potensielle ofre. I dette tilfellet ble det funnet at publisering av en utnyttelse som er egnet for angrep, så lenge det er et stort antall systemer som ennå ikke er oppdatert, bryter GitHub-reglene.
Det er bemerkelsesverdig at angrepene startet i januar, i god tid før utgivelsen av lappen og utgivelsen av informasjon om sårbarheten (dag 0). Før prototypen av utnyttelsen ble publisert, hadde allerede 100 servere blitt angrepet, hvor en bakdør for fjernkontroll ble installert.
I en ekstern GitHub-utnyttelsesprototype ble CVE-2021-26855 (ProxyLogon) -sårbarheten vist, slik at du kan trekke ut data fra en vilkårlig bruker uten godkjenning. I kombinasjon med CVE-2021-27065 tillot sårbarheten deg også å kjøre koden din på serveren med administratorrettigheter.
Ikke alle bedrifter ble fjernet, for eksempel forblir en forenklet versjon av en annen utnyttelse utviklet av GreyOrder-teamet på GitHub.
Et notat til utnyttelsen indikerer at den opprinnelige GreyOrder-utnyttelsen ble fjernet etter at ekstra funksjonalitet ble lagt til koden for å liste brukere på e-postserveren, som kan brukes til å utføre massive angrep mot selskaper som bruker Microsoft Exchange.