قامت Microsoft بإزالة الكود (النسخة) من GitHub باستخدام نموذج أولي يوضح مبدأ وجود ثغرة أمنية حرجة في Microsoft Exchange. وقد أثار مثل هذا الإجراء غضب العديد من الباحثين الأمنيين، حيث تم نشر النموذج الأولي للاستغلال بعد إصدار التصحيح، وهي ممارسة شائعة.
هناك بند في قواعد GitHub يحظر وضع تعليمات برمجية ضارة نشطة أو عمليات استغلال (أي مهاجمة أنظمة المستخدم) في المستودعات، بالإضافة إلى استخدام GitHub كمنصة لتوصيل عمليات استغلال البرامج الضارة والبرامج الضارة أثناء عملية الحمل هجمات خارج. لكن هذه القاعدة لم يتم تطبيقها من قبل على نماذج التعليمات البرمجية الأولية التي يستضيفها الباحثون والتي تم نشرها لتحليل أساليب الهجوم بعد إصدار التصحيح من قبل البائع.
نظرًا لأنه لا تتم إزالة هذا الرمز عادةً، فقد تم اعتبار إجراءات GitHub بمثابة استخدام Microsoft لمورد إداري لحظر المعلومات حول ثغرة أمنية في منتجها. اتهم النقاد مايكروسوفت بالمعايير المزدوجة والرقابة على المحتوى الذي يحظى باهتمام كبير لمجتمع أبحاث الأمان لمجرد أن المحتوى يضر بمصالح مايكروسوفت. وفقًا لأحد أعضاء فريق Google Project Zero، فإن ممارسة نشر نماذج الاستغلال الأولية لها ما يبررها والفوائد تفوق المخاطر، حيث لا توجد طريقة لمشاركة نتائج الأبحاث مع متخصصين آخرين دون وقوع هذه المعلومات في أيدي المهاجمين.
حاول أحد الباحثين من Kryptos Logic الاعتراض، مشيرًا إلى أنه في حالة لا يزال هناك أكثر من 50 خادم Microsoft Exchange غير محدث على الشبكة، فإن نشر نماذج استغلال جاهزة للهجمات يبدو أمرًا مشكوكًا فيه. إن الضرر الذي يمكن أن يسببه النشر المبكر لبرامج استغلال الثغرات يفوق الفائدة التي تعود على الباحثين الأمنيين، نظرًا لأن مثل هذه الثغرات تعرض للخطر عددًا كبيرًا من الخوادم التي لم يتوفر لها الوقت الكافي لتثبيت التحديثات.
علق ممثلو GitHub على الإزالة باعتبارها انتهاكًا لشروط الخدمة (سياسات الاستخدام المقبول) وذكروا أنهم يدركون أهمية نشر نماذج استغلال الثغرات للأغراض البحثية والتعليمية، لكنهم يدركون أيضًا خطر الضرر الذي يمكن أن تسببه في أيدي المهاجمين. لذلك، يحاول GitHub إيجاد التوازن الأمثل بين مصالح مجتمع أبحاث الأمن وحماية الضحايا المحتملين. في هذه الحالة، يعتبر نشر استغلال مناسب لارتكاب الهجمات، بشرط وجود عدد كبير من الأنظمة التي لم يتم تحديثها بعد، بمثابة انتهاك لقواعد GitHub.
يشار إلى أن الهجمات بدأت في شهر يناير، أي قبل فترة طويلة من إصدار التصحيح والكشف عن معلومات حول وجود الثغرة الأمنية (0 يوم). قبل نشر النموذج الأولي للاستغلال، تم بالفعل مهاجمة حوالي 100 ألف خادم، حيث تم تثبيت باب خلفي للتحكم عن بعد.
أظهر نموذج أولي لاستغلال GitHub عن بعد ثغرة CVE-2021-26855 (ProxyLogon)، والتي تسمح باستخراج بيانات المستخدم التعسفية دون مصادقة. وبالتزامن مع CVE-2021-27065، سمحت الثغرة الأمنية أيضًا بتنفيذ التعليمات البرمجية على خادم يتمتع بامتيازات إدارية.
لم تتم إزالة جميع برامج استغلال الثغرات، على سبيل المثال، تظل نسخة مبسطة من برنامج استغلال آخر طوره فريق GreyOrder موجودة على GitHub. تنص ملاحظة الاستغلال على أنه تمت إزالة استغلال GreyOrder الأصلي بعد إضافة وظائف إضافية إلى التعليمات البرمجية التي تعداد المستخدمين على خادم البريد، والتي يمكن استخدامها لشن هجمات جماعية على الشركات التي تستخدم Microsoft Exchange.
المصدر: opennet.ru