Vài ngày trước Microsoft nhận hàng loạt chỉ trích mạnh mẽ bởi nhiều nhà phát triển sau khi trên GitHub xóa mã khỏi Exchange xploit Và mặc dù đối với nhiều người, đó là điều hợp lý nhất, mặc dù vấn đề thực sự là nó là một xplots PoC cho các lỗ hổng đã được vá, được sử dụng như một tiêu chuẩn giữa các nhà nghiên cứu bảo mật.
Những điều này giúp họ hiểu cách thức hoạt động của các cuộc tấn công để có thể xây dựng hệ thống phòng thủ tốt hơn. Hành động này đã khiến nhiều nhà nghiên cứu bảo mật phẫn nộ vì nguyên mẫu khai thác đã được phát hành sau khi bản vá được phát hành, đây là một thực tế phổ biến.
Có một điều khoản trong quy tắc GitHub cấm đặt mã độc hại hoạt động hoặc khai thác (nghĩa là tấn công hệ thống của người dùng) trong kho lưu trữ, cũng như việc sử dụng GitHub làm nền tảng để cung cấp các hoạt động khai thác và mã độc hại trong quá trình tấn công.
Tuy nhiên, quy tắc này trước đây chưa được áp dụng cho các nguyên mẫu. mã do các nhà nghiên cứu xuất bản đã được xuất bản để phân tích các phương pháp tấn công sau khi nhà cung cấp phát hành bản vá.
Vì mã như vậy thường không bị xóa, Microsoft nhận thấy cổ phiếu GitHub như sử dụng tài nguyên quản trị để chặn thông tin về một lỗ hổng trong sản phẩm của bạn.
Các nhà phê bình đã buộc tội Microsoft để có một tiêu chuẩn kép và để kiểm duyệt nội dung rất được cộng đồng nghiên cứu bảo mật quan tâm chỉ vì nội dung có hại cho lợi ích của Microsoft.
Theo một thành viên của nhóm Google Project Zero, việc xuất bản các nguyên mẫu khai thác là hợp lý và lợi ích nhiều hơn rủi ro, vì không có cách nào để chia sẻ kết quả nghiên cứu với các chuyên gia khác để thông tin này không bị rơi vào tay của những kẻ tấn công.
Một điều tra viên Kryptos Logic đã cố gắng tranh luận, chỉ ra rằng trong tình huống vẫn còn hơn 50 nghìn máy chủ Microsoft Exchange lỗi thời trên mạng, xuất bản các nguyên mẫu khai thác sẵn sàng để thực hiện các cuộc tấn công có vẻ như không rõ ràng.
Tác hại của việc phát hành sớm các bản khai thác có thể gây ra nhiều hơn lợi ích đối với các nhà nghiên cứu bảo mật, vì việc khai thác như vậy gây nguy hiểm cho một số lượng lớn các máy chủ chưa được cài đặt các bản cập nhật.
Đại diện GitHub đã nhận xét về việc xóa là vi phạm quy tắc của dịch vụ (Chính sách sử dụng được chấp nhận) và nói rằng họ hiểu tầm quan trọng của việc xuất bản các nguyên mẫu khai thác cho các mục đích giáo dục và nghiên cứu, nhưng cũng hiểu được mức độ nguy hiểm của thiệt hại mà chúng có thể gây ra dưới tay những kẻ tấn công.
Do đó, GitHub cố gắng tìm ra sự cân bằng tối ưu giữa các sở thích của cộng đồng điều tra về an ninh và bảo vệ các nạn nhân tiềm năng. Trong trường hợp này, người ta thấy rằng việc xuất bản một cách khai thác phù hợp cho các cuộc tấn công, miễn là có một số lượng lớn hệ thống chưa được cập nhật, là vi phạm các quy tắc của GitHub.
Đáng chú ý là các cuộc tấn công bắt đầu vào tháng Giêng, trước khi phát hành bản vá và tiết lộ thông tin về lỗ hổng (ngày 0). Trước khi nguyên mẫu khai thác được công bố, khoảng 100 máy chủ đã bị tấn công, trong đó một cửa sau để điều khiển từ xa đã được cài đặt.
Trong một nguyên mẫu khai thác GitHub từ xa, lỗ hổng CVE-2021-26855 (ProxyLogon) đã được chứng minh, cho phép bạn trích xuất dữ liệu từ một người dùng tùy ý mà không cần xác thực. Kết hợp với CVE-2021-27065, lỗ hổng bảo mật cũng cho phép bạn chạy mã của mình trên máy chủ với quyền quản trị viên.
Không phải tất cả các hoạt động khai thác đều bị xóa, ví dụ: phiên bản đơn giản hóa của một cách khai thác khác do nhóm GreyOrder phát triển vẫn còn trên GitHub.
Một lưu ý cho việc khai thác chỉ ra rằng khai thác GreyOrder ban đầu đã bị xóa sau khi chức năng bổ sung được thêm vào mã để liệt kê người dùng trên máy chủ thư, có thể được sử dụng để thực hiện các cuộc tấn công lớn chống lại các công ty sử dụng Microsoft Exchange.