Microsoft получает критику после удаления кода из Exchange xploit на Github

Несколько дней назад Microsoft получила серию резких критических замечаний многими разработчиками после того, как на GitHub удалите код из Exchange xploit И хотя для многих это было бы наиболее логичным, хотя настоящая проблема в том, что это были PoC xplots для исправленных уязвимостей, которые используются в качестве стандарта среди исследователей безопасности.

Это помогает им понять, как работают атаки, чтобы они могли лучше защищаться. Это действие возмутило многих исследователей безопасности, поскольку прототип эксплойта был выпущен после выпуска патча, что является обычной практикой.

В правилах GitHub есть пункт, запрещающий размещение вредоносного кода. active или эксплойтов (то есть атакующих системы пользователей) в репозиториях, а также использование GitHub в качестве платформы для доставки эксплойтов и вредоносного кода в ходе атак.

Однако ранее это правило не применялось к прототипам. кода, опубликованного исследователями которые были опубликованы для анализа методов атаки после того, как производитель выпустил патч.

Поскольку такой код обычно не удаляется, Microsoft восприняла акции GitHub как использование административного ресурса заблокировать информацию об уязвимости в вашем продукте.

Критики обвинили Microsoft иметь двойной стандарт и подвергать цензуре содержание представляет большой интерес для сообщества исследователей безопасности просто потому, что контент наносит ущерб интересам Microsoft.

По словам члена команды Google Project Zero, практика публикации прототипов эксплойтов оправдана, а преимущества перевешивают риск, поскольку нет возможности поделиться результатами исследования с другими специалистами, чтобы эта информация не попала в руки. злоумышленников.

Следователь Kryptos Logic пыталась возразить: указывая на то, что в ситуации, когда в сети все еще находится более 50 тысяч устаревших серверов Microsoft Exchange, публикация прототипов эксплойтов, готовых к атакам, кажется сомнительной.

Вред, который может нанести ранний выпуск эксплойтов, перевешивает пользу для исследователей безопасности, поскольку такие эксплойты подвергают опасности большое количество серверов, на которых еще не установлены обновления.

Представители GitHub прокомментировали удаление как нарушение правил службы (политики допустимого использования) и заявили, что понимают важность публикации прототипов эксплойтов в образовательных и исследовательских целях, но также осознают опасность ущерба, который они могут нанести злоумышленникам.

Таким образом, GitHub пытается найти оптимальный баланс между интересами сообщества расследование безопасности и защиты потенциальных жертв. В этом случае было обнаружено, что публикация эксплойта, подходящего для атак, пока существует большое количество систем, которые еще не были обновлены, нарушает правила GitHub.

Примечательно, что атаки начались в январе, задолго до выпуска патча и раскрытия информации об уязвимости (день 0). До того, как был опубликован прототип эксплойта, уже было атаковано около 100 XNUMX серверов, на которых был установлен черный ход для удаленного управления.

В прототипе удаленного эксплойта GitHub была продемонстрирована уязвимость CVE-2021-26855 (ProxyLogon), позволяющая извлекать данные от произвольного пользователя без аутентификации. В сочетании с CVE-2021-27065 уязвимость также позволяла запускать свой код на сервере с правами администратора.

Не все эксплойты были удалены, например, упрощенная версия другого эксплойта, разработанного командой GreyOrder, остается на GitHub.

В примечании к эксплойту указано, что исходный эксплойт GreyOrder был удален после того, как в код были добавлены дополнительные функции для вывода списка пользователей на почтовом сервере, которые можно было использовать для проведения массовых атак на компании, использующие Microsoft Exchange.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.