Кампанія Microsoft выдаліла з GitHub код (копія) з прататыпам эксплоіта, які дэманструе прынцып дзеяння крытычнай уразлівасці ў Microsoft Exchange. Падобнае дзеянне выклікала абурэнне шматлікіх даследнікаў бяспекі, бо прататып эксплоіта быў апублікаваны пасля выпуску выпраўлення, што з'яўляецца звычайнай практыкай.
У правілах GitHub маецца пункт, які забараняе размяшчэнне ў рэпазітарах актыўнага шкоднаснага кода або эксплоітаў (г.зн. атакавалых сістэмы карыстальнікаў), а таксама выкарыстанне GitHub як платформы для дастаўкі эксплоітаў і шкоднаснага калі ў працэсе ажыццяўлення нападаў. Але дадзенае правіла раней не ўжывалася ў стаўленні якія размяшчаюцца даследнікамі прататыпаў кода, апублікаваных для разбору метадаў нападу пасля выпуску вытворцам выпраўлення.
Бо звычайна падобны код не выдаляецца, дзеянні GitHub былі ўспрынятыя як ужыванне Microsoft адміністрацыйнага рэсурсу для блакавання інфармацыі аб уразлівасці ў сваім прадукце. Якія крытыкуюць абвінавацілі Microsoft у падвойных стандартах і цэнзураванні кантэнту, уяўлялага вялікую цікавасць для супольнасці даследнікаў бяспекі, толькі таму, што гэты кантэнт наносіць шкоду інтарэсам Microsoft. На думку ўдзельніка каманды Google Project Zero, практыка публікацыі прататыпаў эксплоітаў апраўдана і карысць перавышае рызыку, бо няма спосабу падзеліцца з іншымі спецыялістамі вынікамі даследаванняў, так каб гэтая інфармацыя не патрапіла ў рукі зламыснікаў.
Даследнік з кампаніі Kryptos Logic паспрабаваў запярэчыць, паказаўшы на тое, што ў сітуацыі, калі ў сетцы яшчэ застаюцца больш за 50 тысяч неабноўленых сервераў Microsoft Exchange публікацыя гатовых для здзяйснення нападаў прататыпаў эксплоітаў выглядае сумнеўна. Шкода, які можа прывесці ранняя публікацыя эксплоітаў, перавышае карысць для даследнікаў бяспекі, бо падобныя экспоіты падвяргаюць небяспецы вялікая колькасць сервераў, на якіх яшчэ не паспелі ўсталяваць абнаўленні.
Прадстаўнікі GitHub пракаментавалі выдаленне парушэннем правілаў сэрвісу (Acceptable Use Policies) і заявілі, што яны разумеюць важнасць публікацыі прататыпаў эксплоітаў для даследчых і адукацыйных мэт, але таксама ўсведамляюць небяспеку ад шкоды, які яны могуць нанесці ў руках зламыснікаў. Таму GitHub спрабуе знайсці аптымальны баланс паміж інтарэсамі супольнасці даследчыкаў бяспекі і абаронай патэнцыйных ахвяр. У разгляданым выпадку, публікацыя прыдатнага для здзяйснення нападаў эксплоіта пры ўмове наяўнасці вялікай колькасці яшчэ не абноўленых сістэм, прызнана парушаючай правілы GitHub.
Характэрна, што напады пачаліся яшчэ ў студзені, задаўга да выпуску выпраўленні і расчыненні звестак аб наяўнасці ўразлівасці (0-day). Да публікацыі прататыпа эксплоіта ўжо было атакавана каля 100 тысяч сервераў, на якія быў усталяваны бэкдор для выдаленага кіравання.
У выдаленым GitHub прататыпе эксплоіт дэманстравалася ўразлівасць CVE-2021-26855 (ProxyLogon), якая дазваляе атрымаць дадзеныя адвольнага карыстальніка без аўтэнтыфікацыі. У спалучэнні з CVE-2021-27065 уразлівасць таксама дазваляла выканаць свой код на серверы з правамі адміністратара.
Не ўсе эсплоіты былі выдаленыя, напрыклад, на GitHub пакуль застаецца спрошчаны варыянт яшчэ аднаго эксплоіту, распрацаванага камандай GreyOrder. У заўвазе да эксплоіту паказана, што арыгінальны эсплоіт ад GreyOrder быў выдалены пасля дадання ў код дадатковай функцыянальнасці, якая ажыццяўляе перабор карыстачоў на паштовым серверы, якая магла выкарыстоўвацца для здзяйснення масавых нападаў на кампаніі, якія ўжываюць Microsoft Exchange.
Крыніца: opennet.ru