Microsoft het die kode (kopie) van GitHub verwyder met 'n prototipe-uitbuiting wat die beginsel van werking van 'n kritieke kwesbaarheid in Microsoft Exchange demonstreer. Hierdie optrede het verontwaardiging onder baie sekuriteitsnavorsers veroorsaak, aangesien die prototipe van die ontginning gepubliseer is na die vrystelling van die pleister, wat algemene praktyk is.
Die GitHub-reëls bevat 'n klousule wat die plasing van aktiewe kwaadwillige kode of uitbuitings (d.w.s. diegene wat gebruikersstelsels aanval) in bewaarplekke verbied, sowel as die gebruik van GitHub as 'n platform vir die lewering van uitbuitings en kwaadwillige kode tydens aanvalle. Maar hierdie reël is nie voorheen toegepas op kodeprototipes wat deur navorsers aangebied word wat gepubliseer is om aanvalmetodes te ontleed nadat 'n verkoper 'n pleister vrygestel het nie.
Aangesien sulke kode gewoonlik nie verwyder word nie, is GitHub se optrede beskou as dat Microsoft administratiewe hulpbronne gebruik om inligting oor die kwesbaarheid in sy produk te blokkeer. Kritici het Microsoft beskuldig van dubbele standaarde en die sensuur van inhoud van groot belang vir die sekuriteitsnavorsingsgemeenskap bloot omdat die inhoud Microsoft se belange benadeel. Volgens 'n lid van die Google Project Zero-span is die praktyk om ontginningsprototipes te publiseer geregverdig en die voordeel weeg swaarder as die risiko, aangesien daar geen manier is om navorsingsresultate met ander spesialiste te deel sonder dat hierdie inligting in die hande van aanvallers val nie.
'n Navorser van Kryptos Logic het probeer beswaar maak en daarop gewys dat in 'n situasie waar daar nog meer as 50 duisend onopgedateerde Microsoft Exchange-bedieners op die netwerk is, die publikasie van ontginningsprototipes wat gereed is vir aanvalle twyfelagtig lyk. Die skade wat vroeë publikasie van uitbuitings kan veroorsaak, weeg swaarder as die voordeel vir sekuriteitsnavorsers, aangesien sulke uitbuitings 'n groot aantal bedieners blootstel wat nog nie opgedateer is nie.
GitHub-verteenwoordigers het kommentaar gelewer op die verwydering as 'n skending van die diens se Aanvaarbare Gebruiksbeleide en verklaar dat hulle die belangrikheid verstaan van die publikasie van ontginningsprototipes vir navorsings- en opvoedkundige doeleindes, maar erken ook die gevaar van skade wat dit in die hande van aanvallers kan veroorsaak. Daarom probeer GitHub om die optimale balans te vind tussen die belange van die sekuriteitsnavorsingsgemeenskap en die beskerming van potensiële slagoffers. In hierdie geval word die publikasie van 'n uitbuiting wat geskik is om aanvalle uit te voer, geag dat daar 'n groot aantal stelsels is wat nog nie opgedateer is nie, die GitHub-reëls oortree.
Dit is opmerklik dat die aanvalle in Januarie begin het, lank voor die vrystelling van die regstelling en die bekendmaking van inligting oor die teenwoordigheid van die kwesbaarheid (0-dag). Voordat die ontginningsprototipe gepubliseer is, is ongeveer 100 duisend bedieners reeds aangeval, waarop 'n agterdeur vir afstandbeheer geïnstalleer is.
'n Afgeleë GitHub-ontginningsprototipe het die CVE-2021-26855 (ProxyLogon) kwesbaarheid gedemonstreer, wat toelaat dat die data van 'n arbitrêre gebruiker sonder verifikasie onttrek word. Wanneer dit gekombineer word met CVE-2021-27065, het die kwesbaarheid ook toegelaat dat kode op die bediener uitgevoer word met administrateurregte.
Nie alle uitbuitings is verwyder nie; byvoorbeeld, 'n vereenvoudigde weergawe van 'n ander uitbuiting wat deur die GreyOrder-span ontwikkel is, bly steeds op GitHub. Die ontginningsnota verklaar dat die oorspronklike GreyOrder-uitbuiting verwyder is nadat bykomende funksionaliteit by die kode gevoeg is om gebruikers op die posbediener op te som, wat gebruik kan word om massa-aanvalle uit te voer op maatskappye wat Microsoft Exchange gebruik.
Bron: opennet.ru