Kilka dni temu Microsoft spotkał się z serią ostrej krytyki przez wielu programistów po tym na GitHub usuń kod z Exchange xploit Chodzi o to, że chociaż dla wielu byłoby to najbardziej logiczne, chociaż prawdziwym problemem jest to, że były to xploty PoC dla załatanych luk w zabezpieczeniach, które są używane jako standard wśród badaczy bezpieczeństwa.
Pomagają im zrozumieć, jak działają ataki, dzięki czemu mogą budować lepszą obronę. Ta akcja oburzyła wielu badaczy bezpieczeństwa, ponieważ prototyp exploita został wydany po opublikowaniu łatki, co jest powszechną praktyką.
W regułach GitHub znajduje się klauzula, która zabrania umieszczania złośliwego kodu aktywne lub exploity (czyli atakujące systemy użytkowników) w repozytoriach, a także wykorzystanie GitHub jako platformy do dostarczania exploitów i złośliwego kodu w trakcie ataków.
Jednak ta zasada nie była wcześniej stosowana do prototypów. kodu opublikowanego przez badaczy które zostały opublikowane w celu analizy metod ataku po wydaniu przez producenta łatki.
Ponieważ taki kod na ogół nie jest usuwany, Microsoft dostrzegł udziały GitHub jak korzystanie z zasobów administracyjnych do blokowania informacji o luce w produkcie.
Krytycy oskarżyli Microsoft mieć podwójny standard i cenzurować zawartość bardzo interesujące dla społeczności zajmującej się badaniami nad bezpieczeństwem tylko dlatego, że treść jest szkodliwa dla interesów firmy Microsoft.
Zdaniem członka zespołu Google Project Zero praktyka publikowania prototypów exploitów jest uzasadniona, a korzyści przewyższają ryzyko, ponieważ nie ma sposobu, aby podzielić się wynikami badań z innymi specjalistami, aby ta informacja nie wpadła w ręce. napastników.
Badacz Kryptos Logic próbował się kłócić, wskazując, że w sytuacji, gdy w sieci nadal znajduje się ponad 50 tysięcy nieaktualnych serwerów Microsoft Exchange, publikowanie prototypów exploitów gotowych do przeprowadzenia ataków wydaje się wątpliwe.
Szkody, jakie może spowodować wczesne udostępnienie exploitów, przeważają nad korzyściami dla badaczy bezpieczeństwa, ponieważ takie exploity zagrażają dużej liczbie serwerów, na których nie zostały jeszcze zainstalowane aktualizacje.
Przedstawiciele GitHub skomentowali usunięcie jako naruszenie zasad usługi (Zasady dopuszczalnego użytkowania) i powiedzieli, że rozumieją znaczenie publikowania prototypów exploitów do celów edukacyjnych i badawczych, ale także rozumieją niebezpieczeństwo szkód, jakie mogą spowodować z rąk atakujących.
Dlatego GitHub próbuje znaleźć optymalną równowagę między zainteresowaniami społeczności dochodzenie w sprawie bezpieczeństwa i ochrony potencjalnych ofiar. W tym przypadku stwierdzono, że opublikowanie exploita nadającego się do ataków, o ile istnieje duża liczba systemów, które nie zostały jeszcze zaktualizowane, narusza zasady GitHub.
Warto zauważyć, że ataki rozpoczęły się w styczniu, na długo przed opublikowaniem łatki i ujawnieniem informacji o luce (dzień 0). Przed opublikowaniem prototypu exploita zaatakowano już około 100 XNUMX serwerów, w których zainstalowano tylne drzwi do zdalnego sterowania.
W zdalnym prototypie exploita GitHub wykazano lukę CVE-2021-26855 (ProxyLogon), która umożliwia wyodrębnienie danych od dowolnego użytkownika bez uwierzytelniania. W połączeniu z CVE-2021-27065 luka umożliwiła również uruchomienie kodu na serwerze z uprawnieniami administratora.
Nie wszystkie exploity zostały usunięte, na przykład uproszczona wersja innego exploita opracowanego przez zespół GreyOrder pozostaje w serwisie GitHub.
Uwaga dotycząca exploita wskazuje, że oryginalny exploit GreyOrder został usunięty po dodaniu do kodu dodatkowej funkcjonalności w celu wyświetlenia listy użytkowników na serwerze pocztowym, która mogłaby zostać wykorzystana do przeprowadzania masowych ataków na firmy korzystające z Microsoft Exchange.