Microsoft hat den Code (Kopie) mit einem Prototyp-Exploit von GitHub entfernt, der das Funktionsprinzip einer kritischen Sicherheitslücke in Microsoft Exchange demonstriert. Diese Aktion löste bei vielen Sicherheitsforschern Empörung aus, da der Prototyp des Exploits, wie es gängige Praxis ist, nach der Veröffentlichung des Patches veröffentlicht wurde.
Die GitHub-Regeln enthalten eine Klausel, die die Platzierung von aktivem Schadcode oder Exploits (d. h. solche, die Benutzersysteme angreifen) in Repositories sowie die Verwendung von GitHub als Plattform für die Bereitstellung von Exploits und Schadcode bei Angriffen verbietet. Diese Regel wurde jedoch bisher nicht auf von Forschern gehostete Code-Prototypen angewendet, die zur Analyse von Angriffsmethoden veröffentlicht wurden, nachdem ein Anbieter einen Patch veröffentlicht hatte.
Da solcher Code normalerweise nicht entfernt wird, wurden die Aktionen von GitHub als Microsoft wahrgenommen, der administrative Ressourcen einsetzt, um Informationen über die Schwachstelle in seinem Produkt zu blockieren. Kritiker werfen Microsoft vor, mit zweierlei Maß zu messen und Inhalte zu zensieren, die für die Sicherheitsforschungsgemeinschaft von großem Interesse sind, nur weil die Inhalte den Interessen von Microsoft schaden. Laut einem Mitglied des Google Project Zero-Teams ist die Praxis der Veröffentlichung von Exploit-Prototypen gerechtfertigt und der Nutzen überwiegt das Risiko, da es keine Möglichkeit gibt, Forschungsergebnisse mit anderen Spezialisten zu teilen, ohne dass diese Informationen in die Hände von Angreifern geraten.
Ein Forscher von Kryptos Logic versuchte Einspruch zu erheben und wies darauf hin, dass in einer Situation, in der es immer noch mehr als 50 nicht aktualisierte Microsoft Exchange-Server im Netzwerk gibt, die Veröffentlichung von Exploit-Prototypen, die für Angriffe bereit sind, zweifelhaft erscheint. Der Schaden, den eine frühzeitige Veröffentlichung von Exploits verursachen kann, überwiegt den Nutzen für Sicherheitsforscher, da solche Exploits eine große Anzahl von Servern offenlegen, die noch nicht aktualisiert wurden.
Vertreter von GitHub bezeichneten die Entfernung als einen Verstoß gegen die Nutzungsrichtlinien des Dienstes und gaben an, dass sie die Bedeutung der Veröffentlichung von Exploit-Prototypen für Forschungs- und Bildungszwecke verstehen, aber auch die Gefahr von Schäden erkennen, die sie in den Händen von Angreifern anrichten können. Daher versucht GitHub, die optimale Balance zwischen den Interessen der Sicherheitsforschungsgemeinschaft und dem Schutz potenzieller Opfer zu finden. In diesem Fall gilt die Veröffentlichung eines zur Durchführung von Angriffen geeigneten Exploits, sofern es sich um eine große Anzahl noch nicht aktualisierter Systeme handelt, als Verstoß gegen die GitHub-Regeln.
Bemerkenswert ist, dass die Angriffe im Januar begannen, lange vor der Veröffentlichung des Fixes und der Offenlegung von Informationen über das Vorhandensein der Schwachstelle (0-Day). Vor der Veröffentlichung des Exploit-Prototyps wurden bereits rund 100 Server angegriffen, auf denen eine Hintertür zur Fernsteuerung installiert war.
Ein Remote-GitHub-Exploit-Prototyp demonstrierte die Schwachstelle CVE-2021-26855 (ProxyLogon), die es ermöglicht, die Daten eines beliebigen Benutzers ohne Authentifizierung zu extrahieren. In Kombination mit CVE-2021-27065 ermöglichte die Schwachstelle auch die Ausführung von Code auf dem Server mit Administratorrechten.
Nicht alle Exploits wurden entfernt; eine vereinfachte Version eines anderen Exploits, der vom GreyOrder-Team entwickelt wurde, befindet sich beispielsweise immer noch auf GitHub. Im Exploit-Hinweis heißt es, dass der ursprüngliche GreyOrder-Exploit entfernt wurde, nachdem dem Code zusätzliche Funktionen zur Enumeration von Benutzern auf dem Mailserver hinzugefügt wurden, die für Massenangriffe auf Unternehmen, die Microsoft Exchange nutzen, genutzt werden könnten.
Source: opennet.ru