Microsoft odstranil kód (kopii) z GitHubu pomocí prototypu exploitu demonstrujícího princip kritické zranitelnosti v Microsoft Exchange. Taková akce vyvolala pobouření mezi mnoha bezpečnostními výzkumníky, protože prototyp exploitu byl zveřejněn po vydání opravy, což je běžná praxe.
V pravidlech GitHubu je klauzule, která zakazuje umisťování aktivního škodlivého kódu nebo exploitů (tj. útočících na uživatelské systémy) do úložišť, stejně jako používání GitHubu jako platformy pro doručování exploitů a malwaru v procesu přenášení. out útoky. Toto pravidlo však nebylo dříve aplikováno na prototypy kódu hostované výzkumnými pracovníky, které byly publikovány za účelem analýzy metod útoku poté, co prodejce vydal opravu.
Vzhledem k tomu, že takový kód obvykle není odstraňován, byly akce GitHubu vnímány jako použití administrativního zdroje ze strany společnosti Microsoft k blokování informací o zranitelnosti v jejím produktu. Kritici obvinili Microsoft z dvojích standardů a cenzury obsahu, který je pro komunitu výzkumu bezpečnosti velmi zajímavý, jednoduše proto, že obsah poškozuje zájmy Microsoftu. Podle člena týmu Google Project Zero je praxe zveřejňování prototypů exploitů oprávněná a výhody převažují nad riziky, protože neexistuje způsob, jak sdílet výsledky výzkumu s dalšími specialisty, aniž by se tyto informace nedostaly do rukou útočníků.
Výzkumník z Kryptos Logic se pokusil oponovat a poukázal na to, že v situaci, kdy je v síti stále více než 50 XNUMX neaktualizovaných serverů Microsoft Exchange, vypadá publikování prototypů exploitů připravených k útokům pochybně. Škody, které může způsobit předčasné zveřejnění exploitů, převažují nad přínosy pro bezpečnostní výzkumníky, protože takové exploity ohrožují velké množství serverů, které ještě neměly čas nainstalovat aktualizace.
Zástupci GitHubu komentovali odstranění jako porušení podmínek služby (Zásady přijatelného používání) a uvedli, že chápou důležitost publikování prototypů exploitů pro výzkumné a vzdělávací účely, ale také si uvědomují nebezpečí způsobené škody, které mohou způsobit rukou útočníků. GitHub se proto snaží najít optimální rovnováhu mezi zájmy komunity bezpečnostního výzkumu a ochranou potenciálních obětí. V tomto případě je zveřejnění exploitu vhodného pro páchání útoků za předpokladu, že existuje velké množství systémů, které dosud nebyly aktualizovány, uznáno za porušení pravidel GitHubu.
Je pozoruhodné, že útoky začaly v lednu, dlouho před vydáním opravy a zveřejněním informací o přítomnosti zranitelnosti (0 dnů). Před zveřejněním prototypu exploitu bylo napadeno již asi 100 tisíc serverů, na kterých byl nainstalován backdoor pro vzdálené ovládání.
Prototyp vzdáleného zneužití GitHubu prokázal zranitelnost CVE-2021-26855 (ProxyLogon), která umožňuje extrahovat libovolná uživatelská data bez ověřování. Ve spojení s CVE-2021-27065 tato chyba zabezpečení také umožnila spuštění kódu na serveru s oprávněními správce.
Ne všechny exploity byly odstraněny, například na GitHubu zůstává zjednodušená verze jiného exploitu vyvinutého týmem GreyOrder. Zpráva o exploitu uvádí, že původní exploit GreyOrder byl odstraněn po přidání další funkce do kódu, který vyjmenovává uživatele na poštovním serveru, což by mohlo být použito ke spuštění hromadných útoků na společnosti používající Microsoft Exchange.
Zdroj: opennet.ru