Microsoft je sa GitHub-a uklonio kod (kopiju) sa prototipom eksploatacije koji demonstrira princip rada kritične ranjivosti u Microsoft Exchange-u. Ova akcija izazvala je zgražanje mnogih istraživača sigurnosti, jer je prototip eksploatacije objavljen nakon objavljivanja zakrpe, što je uobičajena praksa.
GitHub pravila sadrže klauzulu koja zabranjuje postavljanje aktivnog zlonamjernog koda ili eksploatacije (tj. napada na korisničke sisteme) u spremišta, kao i korištenje GitHub-a kao platforme za isporuku eksploata i zlonamjernog koda tokom napada. Ali ovo pravilo se ranije nije primjenjivalo na prototipove koda koje hostuje istraživač, objavljene za analizu metoda napada nakon što dobavljač objavi zakrpu.
Budući da se takav kod obično ne uklanja, GitHub-ove radnje su percipirane kao da Microsoft koristi administrativne resurse da blokira informacije o ranjivosti u svom proizvodu. Kritičari su optužili Microsoft za dvostruke standarde i cenzuru sadržaja od velikog interesa za istraživačku zajednicu sigurnosti samo zato što sadržaj šteti Microsoftovim interesima. Prema riječima člana Google Project Zero tima, praksa objavljivanja prototipova eksploatacije je opravdana, a korist je veća od rizika, jer ne postoji način da se rezultati istraživanja podijeli s drugim stručnjacima, a da ove informacije ne dođu u ruke napadača.
Istraživač iz Kryptos Logic-a pokušao je da prigovori, ističući da u situaciji kada na mreži još uvijek ima više od 50 hiljada neažuriranih Microsoft Exchange servera, objavljivanje prototipova eksploatacije spremnih za napade izgleda sumnjivo. Šteta koju rano objavljivanje eksploatacije može uzrokovati nadmašuje korist za istraživače sigurnosti, budući da takvi eksploati razotkrivaju veliki broj servera koji još uvijek nisu ažurirani.
Predstavnici GitHuba prokomentirali su uklanjanje kao kršenje Pravila prihvatljivog korištenja servisa i naveli da razumiju važnost objavljivanja prototipa eksploatacije u istraživačke i obrazovne svrhe, ali i da prepoznaju opasnost od štete koju mogu izazvati u rukama napadača. Stoga GitHub pokušava pronaći optimalnu ravnotežu između interesa istraživačke zajednice i zaštite potencijalnih žrtava. U ovom slučaju, objavljivanje eksploatacije pogodnog za izvođenje napada, pod uslovom da postoji veliki broj sistema koji još nisu ažurirani, smatra se kršenjem GitHub pravila.
Važno je napomenuti da su napadi počeli u januaru, mnogo prije objavljivanja popravka i otkrivanja informacija o prisutnosti ranjivosti (0-dan). Prije nego što je eksploat prototip objavljen, već je bilo napadnuto oko 100 hiljada servera na kojima je instaliran backdoor za daljinsko upravljanje.
Udaljeni prototip eksploatacije GitHub-a pokazao je ranjivost CVE-2021-26855 (ProxyLogon), koja omogućava da se podaci proizvoljnog korisnika ekstrahuju bez autentifikacije. Kada se kombinuje sa CVE-2021-27065, ranjivost je takođe dozvoljavala izvršavanje koda na serveru sa administratorskim pravima.
Nisu svi exploitovi uklonjeni; na primjer, pojednostavljena verzija drugog exploit-a koji je razvio GreyOrder tim i dalje ostaje na GitHubu. U napomeni o eksploataciji se navodi da je originalni GreyOrder eksploat uklonjen nakon što je kodu dodata dodatna funkcionalnost za nabrajanje korisnika na serveru pošte, koja bi se mogla koristiti za izvođenje masovnih napada na kompanije koje koriste Microsoft Exchange.
izvor: opennet.ru