Acum cateva zile Microsoft a primit o serie de critici puternice de mulți dezvoltatori după ce pe GitHub ștergeți codul dintr-un xploit Exchange Și este faptul că, deși pentru mulți ar fi cel mai logic lucru, deși adevărata problemă este că a fost un xplot PoC pentru vulnerabilități reparate, care sunt utilizate ca standard în rândul cercetătorilor în domeniul securității.
Acestea îi ajută să înțeleagă cum funcționează atacurile, astfel încât să poată construi apărări mai bune. Această acțiune a indignat mulți cercetători în domeniul securității, deoarece prototipul de exploatare a fost lansat după ce patch-ul a fost lansat, ceea ce este o practică obișnuită.
Există o clauză în regulile GitHub care interzice plasarea unui cod rău intenționat active sau exploit-uri (adică atacarea sistemelor utilizatorilor) în depozite, precum și utilizarea GitHub ca platformă pentru a furniza exploit-uri și coduri rău intenționate în timpul atacurilor.
Cu toate acestea, această regulă nu a fost aplicată anterior prototipurilor. de cod publicat de cercetători care au fost publicate pentru a analiza metodele de atac după ce furnizorul a lansat un patch.
Deoarece un astfel de cod nu este în general eliminat, Microsoft a perceput acțiunile GitHub cum ar fi utilizarea unei resurse administrative pentru a bloca informații despre o vulnerabilitate a produsului dvs..
Criticii au acuzat Microsoft să aibă un dublu standard și pentru a cenzura conținutul de mare interes pentru comunitatea de cercetare a securității, pur și simplu pentru că conținutul este în detrimentul intereselor Microsoft.
Potrivit unui membru al echipei Google Project Zero, practica publicării prototipurilor de exploatare este justificată, iar beneficiile depășesc riscul, deoarece nu există nicio modalitate de a împărtăși rezultatele cercetării cu alți specialiști, astfel încât aceste informații să nu cadă în mâinile acestora. de atacatori.
Un anchetator Kryptos Logic a încercat să argumenteze, subliniind că într-o situație în care există încă peste 50 de mii de servere Microsoft Exchange învechite în rețea, publicarea prototipurilor de exploatare gata să efectueze atacuri pare dubioasă.
Prejudiciul pe care îl poate provoca lansarea timpurie a exploatărilor depășește beneficiul cercetătorilor în domeniul securității, deoarece astfel de exploatări pun în pericol un număr mare de servere pe care nu au fost încă instalate actualizări.
Reprezentanții GitHub au comentat eliminarea ca încălcare a regulii ale serviciului (Politici de utilizare acceptabile) și au spus că înțeleg importanța publicării prototipurilor de exploatare în scopuri educaționale și de cercetare, dar înțeleg, de asemenea, pericolul pagubelor pe care le pot provoca în mâinile atacatorilor.
În consecință, GitHub încearcă să găsească echilibrul optim între interese a comunității ancheta privind securitatea și protecția potențialelor victime. În acest caz, s-a constatat că publicarea unui exploit adecvat pentru atacuri, atâta timp cât există un număr mare de sisteme care nu au fost încă actualizate, încalcă regulile GitHub.
Este de remarcat faptul că atacurile au început în ianuarie, cu mult înainte de lansarea patch-ului și dezvăluirea informațiilor despre vulnerabilitate (ziua 0). Înainte de a fi publicat prototipul exploitului, aproximativ 100 de servere au fost deja atacate, în care a fost instalată o ușă din spate pentru telecomandă.
Într-un prototip de exploatare GitHub la distanță, a fost demonstrată vulnerabilitatea CVE-2021-26855 (ProxyLogon), care vă permite să extrageți date de la un utilizator arbitrar fără autentificare. În combinație cu CVE-2021-27065, vulnerabilitatea vă permite, de asemenea, să rulați codul pe server cu drepturi de administrator.
Nu toate exploatările au fost eliminate, de exemplu, o versiune simplificată a unui alt exploit dezvoltat de echipa GreyOrder rămâne pe GitHub.
O notă pentru exploatare indică faptul că exploatarea GreyOrder originală a fost eliminată după ce a fost adăugată funcționalitate suplimentară la cod pentru a enumera utilizatorii de pe serverul de e-mail, care ar putea fi folosit pentru a efectua atacuri masive împotriva companiilor care utilizează Microsoft Exchange.