几天前 微软收到了一系列强烈的批评 被许多开发商 在GitHub上之后,从Exchange xploit删除代码 即使对许多人来说,这也是最合乎逻辑的事情,尽管真正的问题是它是修补漏洞的PoC xplots,在安全研究人员中用作标准。
这些帮助他们了解攻击的工作原理,从而可以建立更好的防御。 此行为激怒了许多安全研究人员,因为漏洞修补程序原型是在补丁发布后发布的,这是常见的做法。
GitHub规则中有一个条款禁止放置恶意代码 存储库中的活动或漏洞利用程序(即攻击用户的系统),以及使用GitHub作为平台在攻击过程中提供漏洞利用程序和恶意代码。
但是,此规则以前尚未应用于原型。 研究人员发布的代码集 供应商发布补丁后已发布这些文件以分析攻击方法。
由于通常不会删除此类代码, 微软认为GitHub份额 就像使用管理资源 阻止有关产品中漏洞的信息.
评论家指责微软 有双重标准 审查内容 对安全研究界非常感兴趣,仅仅是因为其内容有害于Microsoft的利益。
Google Project Zero小组的一位成员认为,发布漏洞利用原型的做法是合理的,其好处胜于风险,因为无法与其他专家共享研究结果,因此这些信息不会落入他人之手。攻击者。
调查员 Kryptos Logic试图争辩, 指出在网络上仍然有超过50万台过期的Microsoft Exchange服务器的情况下, 发布准备好进行攻击的漏洞利用原型似乎是可疑的。
漏洞利用的早期发布可能造成的危害超过了安全研究人员的利益,因为此类漏洞危害尚未安装更新的大量服务器。
GitHub代表评论删除该规则 服务(可接受的使用政策),并表示他们了解出于教育和研究目的发布漏洞利用原型的重要性,但也了解攻击者可能造成损害的危险。
因此, GitHub试图找到兴趣之间的最佳平衡 社区的 调查安全和保护潜在受害者。 在这种情况下,发现只要存在大量尚未更新的系统,发布适合攻击的漏洞就违反了GitHub规则。
值得注意的是,攻击始于0月,即补丁发布和漏洞信息披露之前(第100天)。 在该漏洞利用的原型发布之前,已经攻击了大约XNUMX台服务器,其中安装了用于远程控制的后门。
在远程GitHub利用原型中,展示了CVE-2021-26855(ProxyLogon)漏洞,该漏洞使您无需身份验证即可从任意用户提取数据。 与CVE-2021-27065结合使用时,该漏洞还使您可以使用管理员权限在服务器上运行代码。
并非所有漏洞利用都已删除, 例如,由GreyOrder团队开发的另一种漏洞利用的简化版本仍保留在GitHub上。
该漏洞利用的注释表明,在代码中添加了附加功能以列出邮件服务器上的用户之后,原始的GreyOrder漏洞已被删除,该漏洞可用于对使用Microsoft Exchange的公司进行大规模攻击。