Критика Microsoft после удаления из GitHub прототипа эксплоита для Microsoft Exchange

Компания Microsoft удалила из GitHub код (копия) с прототипом эксплоита, демонстрирующем принцип действия критической уязвимости в Microsoft Exchange. Подобное действие вызвало возмущение многих исследователей безопасности, так как прототип эксплоита был опубликован после выпуска исправления, что является обычной практикой.

В правилах GitHub имеется пункт, запрещающий размещение в репозиториях активного вредоносного кода или эксплоитов (т.е. атакующих системы пользователей), а также использование GitHub как платформы для доставки эксплоитов и вредоносного когда в процессе осуществления атак. Но данное правило раньше не применялось в отношении размещаемых исследователями прототипов кода, опубликованных для разбора методов атаки после выпуска производителем исправления.

Так как обычно подобный код не удаляется, действия GitHub были восприняты как применение Microsoft административного ресурса для блокирования информации об уязвимости в своём продукте. Критикующие обвинили Microsoft в двойных стандартах и цензурировании контента, представляющего большой интерес для сообщества исследователей безопасности, лишь потому, что этот контент наносит ущерб интересам Microsoft. По мнению участника команды Google Project Zero, практика публикации прототипов эксплоитов оправдана и польза превышает риск, так как нет способа поделится с другими специалистами результатами исследований, так чтобы эта информация не попала в руки злоумышленников.

Исследователь из компании Kryptos Logic попытался возразить, указав на то, что в ситуации, когда в сети ещё остаются более 50 тысяч необновлённых серверов Microsoft Exchange публикация готовых для совершения атак прототипов эксплоитов выглядит сомнительно. Вред, который может привести ранняя публикация эксплоитов, превышает пользу для исследователей безопасности, так как подобные экспоиты подвергают опасности большое количество серверов, на которых ещё не успели установить обновления.

Представители GitHub прокомментировали удаление нарушением правил сервиса (Acceptable Use Policies) и заявили, что они понимают важность публикации прототипов эксплоитов для исследовательских и образовательных целей, но также осознают опасность от ущерба, который они могут нанести в руках злоумышленников. Поэтому GitHub пытается найти оптимальный баланс между интересами сообщества исследователей безопасности и защитой потенциальных жертв. В рассматриваемом случае, публикация пригодного для совершения атак эксплоита при условии наличия большого числа ещё не обновлённых систем, признана нарушающей правила GitHub.

Примечательно, что атаки начались ещё в январе, задолго до выпуска исправления и раскрытия сведений о наличии уязвимости (0-day). До публикации прототипа эксплоита уже было атаковано около 100 тысяч серверов, на которые был установлен бэкдор для удалённого управления.

В удалённом GitHub прототипе эксплоите демонстрировалась уязвимость CVE-2021-26855 (ProxyLogon), позволяющая извлечь данные произвольного пользователя без аутентификации. В сочетании с CVE-2021-27065 уязвимость также позволяла выполнить свой код на сервере с правами администратора.

Не все эсплоиты были удалены, например, на GitHub пока остаётся упрощённый вариант ещё одного эксплоита, разработанного командой GreyOrder. В примечании к эксплоиту указано, что оригинальный эсплоит от GreyOrder был удалён после добавления в код дополнительной функциональности, осуществляющей перебор пользователей на почтовом сервере, которая могла использоваться для совершения массовых атак на компании, применяющие Microsoft Exchange.

Источник: opennet.ru