Microsoft forigis de GitHub la kodon (kopion) kun prototipa ekspluato pruvanta la principon de funkciado de kritika vundebleco en Microsoft Exchange. Ĉi tiu ago kaŭzis koleregon inter multaj sekurecaj esploristoj, ĉar la prototipo de la ekspluato estis publikigita post la liberigo de la flikaĵo, kio estas ofta praktiko.
La GitHub-reguloj enhavas klaŭzon malpermesantan la lokigon de aktiva malica kodo aŭ ekspluataĵoj (t.e., tiuj atakantaj uzantsistemoj) en deponejoj, same kiel la uzon de GitHub kiel platformo por liverado de ekspluataĵoj kaj malica kodo dum atakoj. Sed ĉi tiu regulo ne estis antaŭe aplikita al esploristo-gastigitaj kodprototipoj publikigitaj por analizi atakmetodojn post kiam vendisto liberigas diakilon.
Ĉar tia kodo kutime ne estas forigita, la agoj de GitHub estis perceptitaj kiel Microsoft uzanta administrajn rimedojn por bloki informojn pri la vundebleco en ĝia produkto. Kritikistoj akuzis Microsoft je duoblaj normoj kaj cenzurado de enhavo de alta intereso al la sekureca esplorkomunumo simple ĉar la enhavo damaĝas la interesojn de Microsoft. Laŭ membro de la teamo de Google Project Zero, la praktiko de eldonado de ekspluatprototipoj estas pravigita kaj la profito superas la riskon, ĉar ne ekzistas maniero dividi esplorrezultojn kun aliaj specialistoj sen ke ĉi tiu informo falu en la manojn de atakantoj.
Esploristo de Kryptos Logic provis kontraŭi, atentigante, ke en situacio, kie ankoraŭ estas pli ol 50 mil neĝisdatigitaj serviloj de Microsoft Exchange en la reto, la publikigo de ekspluatprototipoj pretaj por atakoj aspektas dubinda. La damaĝo, kiun povas kaŭzi frua publikigo de ekspluatoj, superas la avantaĝon por sekurecaj esploristoj, ĉar tiaj ekspluatoj elmontras grandan nombron da serviloj, kiuj ankoraŭ ne estis ĝisdatigitaj.
Reprezentantoj de GitHub komentis la forigon kiel malobservon de la Akceptebla Uzo-Politiko de la servo kaj deklaris, ke ili komprenas la gravecon de eldonado de ekspluatprototipoj por esploro kaj edukaj celoj, sed ankaŭ rekonas la danĝeron de damaĝo, kiun ili povas kaŭzi en la manoj de atakantoj. Tial, GitHub provas trovi la optimuman ekvilibron inter la interesoj de la sekureca esplorkomunumo kaj la protekto de eblaj viktimoj. En ĉi tiu kazo, la publikigo de ekspluato taŭga por fari atakojn, kondiĉe ke ekzistas granda nombro da sistemoj, kiuj ankoraŭ ne estis ĝisdatigitaj, estas konsiderata kiel malobservas la regulojn de GitHub.
Estas rimarkinde, ke la atakoj komenciĝis en januaro, multe antaŭ la liberigo de la riparo kaj malkaŝo de informoj pri la ĉeesto de la vundebleco (0-tago). Antaŭ ol la ekspluata prototipo estis publikigita, ĉirkaŭ 100 mil serviloj jam estis atakitaj, sur kiuj estis instalita malantaŭa pordo por teleregado.
Fora GitHub-ekspluata prototipo montris la vundeblecon CVE-2021-26855 (ProxyLogon), kiu permesas ĉerpi la datumojn de arbitra uzanto sen aŭtentigo. Se kombinite kun CVE-2021-27065, la vundebleco ankaŭ permesis al kodo esti ekzekutita sur la servilo kun administraj rajtoj.
Ne ĉiuj ekspluataĵoj estis forigitaj; ekzemple, simpligita versio de alia ekspluatado evoluigita de la GreyOrder-teamo daŭre restas sur GitHub. La ekspluatnoto deklaras ke la origina GreyOrder ekspluato estis forigita post kiam kroma funkcieco estis aldonita al la kodo por listigi uzantojn sur la poŝtservilo, kiu povus esti uzita por aranĝi amasatakojn sur firmaoj uzantaj Microsoft Exchange.
fonto: opennet.ru