Кілька днів тому Microsoft отримала низку рішучих докорів багатьма розробниками після того як на GitHub видалити код із xploit Exchange І це те, що, хоча для багатьох це було б найбільш логічним, хоча справжня проблема полягає в тому, що це PoC xplots для виправлених вразливостей, які використовуються як стандарт серед дослідників безпеки.
Вони допомагають їм зрозуміти, як працюють атаки, щоб вони могли покращити захист. Ця дія обурила багатьох дослідників безпеки, оскільки прототип експлойта був випущений після випуску патчу, що є загальноприйнятою практикою.
У правилах GitHub є пункт, який забороняє розміщення шкідливого коду активні або експлойти (тобто атакують системи користувачів) у сховищах, а також використання GitHub як платформи для доставки експлойтів та шкідливого коду під час атак.
Однак це правило раніше не застосовувалось до прототипів. коду, опублікованого дослідниками які були опубліковані для аналізу методів атак після того, як постачальник випустив патч.
Оскільки такий код, як правило, не видаляється, Microsoft сприйняла акції GitHub як використання адміністративного ресурсу щоб заблокувати інформацію про вразливість у вашому продукті.
Критики звинуватили Microsoft мати подвійний стандарт і цензурувати зміст представляє великий інтерес для спільноти дослідників безпеки просто тому, що вміст шкодить інтересам Microsoft.
За словами члена команди Google Project Zero, практика публікації прототипів експлойт виправдана, і переваги перевищують ризик, оскільки немає можливості ділитися результатами розслідування з іншими фахівцями, щоб ця інформація не потрапляла в руки зловмисників.
Дослідник Криптос Логік намагався сперечатися, вказуючи, що в ситуації, коли в мережі все ще перебуває понад 50 тисяч застарілих серверів Microsoft Exchange, публікація прототипів експлойтів, готових здійснити атаки, видається сумнівною.
Шкода, яку може завдати дострокове випуск експлойтів, перевищує користь для дослідників безпеки, оскільки такі експлоїти становлять загрозу для великої кількості серверів, на яких оновлення ще не встановлені.
Представники GitHub прокоментували видалення як порушення правил служби (Правила прийнятного використання) та зазначив, що вони розуміють важливість публікації прототипів експлоата в навчальних та дослідницьких цілях, а також розуміють небезпеку шкоди, яку вони можуть завдати зловмисникам.
Таким чином, GitHub намагається знайти оптимальний баланс між інтересами громади розслідування безпеки та захисту потенційних жертв. У цьому випадку було встановлено, що публікація експлоїту, придатного для атак, поки існує велика кількість систем, які ще не оновлені, порушує правила GitHub.
Примітно, що атаки розпочались у січні, задовго до випуску патчу та розголошення інформації про вразливість (день 0). До того, як був опублікований прототип експлоїту, вже було атаковано близько 100 XNUMX серверів, в яких була встановлена задня дверцята для дистанційного управління.
У віддаленому прототипі експлоїту GitHub було продемонстровано вразливість CVE-2021-26855 (ProxyLogon), яка дозволяє отримувати дані від довільного користувача без автентифікації. У поєднанні з CVE-2021-27065 уразливість також дозволила запустити ваш код на сервері з правами адміністратора.
Не всі подвиги були вилучені, наприклад, на GitHub залишається спрощена версія іншого експлойта, розробленого командою GreyOrder.
Примітка до експлоїту вказує на те, що оригінальний експлойт GreyOrder був видалений після того, як до коду була додана додаткова функціональність для переліку користувачів на поштовому сервері, яка може бути використана для здійснення масових атак на компанії, що використовують Microsoft Exchange.