Alguns dias atrás A Microsoft recebeu uma série de críticas fortes por muitos desenvolvedores depois do GitHub, exclua o código de um xploit do Exchange E é que mesmo que para muitos seria a coisa mais lógica, embora o verdadeiro problema seja que se tratava de um PoC xplots para vulnerabilidades corrigidas, que são usadas como um padrão entre os pesquisadores de segurança.
Isso os ajuda a entender como funcionam os ataques para que possam construir defesas melhores. Essa ação indignou muitos pesquisadores de segurança, já que o protótipo de exploit foi lançado depois que o patch foi lançado, o que é uma prática comum.
Existe uma cláusula nas regras do GitHub que proíbe a colocação de código malicioso ativo ou exploits (ou seja, atacando os sistemas dos usuários) em repositórios, bem como o uso do GitHub como uma plataforma para entregar exploits e código malicioso no curso de ataques.
No entanto, essa regra não foi aplicada anteriormente a protótipos. de código publicado por pesquisadores que foram publicados para analisar métodos de ataque depois que o fornecedor lançou um patch.
Uma vez que esse código geralmente não é removido, Microsoft percebeu compartilhamentos do GitHub como usar um recurso administrativo para bloquear informações sobre uma vulnerabilidade em seu produto.
Os críticos acusaram a Microsoft ter um padrão duplo e censurar conteúdo de grande interesse para a comunidade de pesquisa de segurança simplesmente porque o conteúdo é prejudicial aos interesses da Microsoft.
De acordo com um membro da equipe do Google Project Zero, a prática de publicar protótipos de exploit se justifica, e os benefícios superam o risco, já que não há como compartilhar os resultados da pesquisa com outros especialistas para que essas informações não caiam nas mãos de atacantes.
Um investigador Kryptos Logic tentou argumentar, ressaltando que em uma situação em que ainda existem mais de 50 mil servidores Microsoft Exchange desatualizados na rede, publicar protótipos de exploit prontos para realizar ataques parece duvidoso.
O dano que a liberação antecipada de explorações pode causar supera o benefício para os pesquisadores de segurança, já que tais explorações colocam em risco um grande número de servidores nos quais as atualizações ainda não foram instaladas.
Representantes do GitHub comentaram sobre a remoção como uma violação de regra do serviço (políticas de uso aceitável) e disseram que entendem a importância de publicar protótipos de exploits para fins educacionais e de pesquisa, mas também entendem o perigo dos danos que eles podem causar nas mãos dos invasores.
Portanto, GitHub tenta encontrar o equilíbrio ideal entre interesses da comunidade investigação sobre segurança e proteção de vítimas potenciais. Neste caso, descobriu-se que publicar um exploit adequado para ataques, desde que haja um grande número de sistemas que ainda não foram atualizados, viola as regras do GitHub.
Vale ressaltar que os ataques começaram em janeiro, bem antes do lançamento do patch e da divulgação de informações sobre a vulnerabilidade (dia 0). Antes da publicação do protótipo do exploit, cerca de 100 servidores já haviam sido atacados, nos quais uma porta traseira para controle remoto foi instalada.
Em um protótipo de exploit GitHub remoto, a vulnerabilidade CVE-2021-26855 (ProxyLogon) foi demonstrada, permitindo que você extraia dados de um usuário arbitrário sem autenticação. Em combinação com CVE-2021-27065, a vulnerabilidade também permite que você execute seu código no servidor com direitos de administrador.
Nem todos os exploits foram removidos, por exemplo, uma versão simplificada de outro exploit desenvolvido pela equipe GreyOrder permanece no GitHub.
Uma observação sobre o exploit indica que o exploit GreyOrder original foi removido depois que uma funcionalidade adicional foi adicionada ao código para listar usuários no servidor de e-mail, que poderia ser usado para realizar ataques massivos contra empresas que usam o Microsoft Exchange.