Microsoft eliminó de GitHub el código (copia) con un prototipo de exploit que demuestra el principio de funcionamiento de una vulnerabilidad crítica en Microsoft Exchange. Esta acción causó indignación entre muchos investigadores de seguridad, ya que el prototipo del exploit se publicó después del lanzamiento del parche, lo cual es una práctica común.
Las reglas de GitHub contienen una cláusula que prohíbe la colocación de códigos maliciosos activos o exploits (es decir, aquellos que atacan los sistemas de los usuarios) en repositorios, así como el uso de GitHub como plataforma para entregar exploits y códigos maliciosos durante los ataques. Pero esta regla no se había aplicado anteriormente a los prototipos de código alojados por investigadores y publicados para analizar métodos de ataque después de que un proveedor lanza un parche.
Dado que dicho código normalmente no se elimina, las acciones de GitHub se percibieron como si Microsoft estuviera utilizando recursos administrativos para bloquear información sobre la vulnerabilidad en su producto. Los críticos han acusado a Microsoft de aplicar dobles estándares y de censurar contenido de gran interés para la comunidad de investigación de seguridad simplemente porque el contenido perjudica los intereses de Microsoft. Según un miembro del equipo de Google Project Zero, la práctica de publicar prototipos de exploits está justificada y el beneficio supera el riesgo, ya que no hay forma de compartir los resultados de la investigación con otros especialistas sin que esta información caiga en manos de los atacantes.
Un investigador de Kryptos Logic intentó objetar, señalando que en una situación en la que todavía hay más de 50 mil servidores Microsoft Exchange sin actualizar en la red, la publicación de prototipos de exploits listos para ataques parece dudosa. El daño que puede causar la publicación anticipada de exploits supera el beneficio para los investigadores de seguridad, ya que dichos exploits exponen una gran cantidad de servidores que aún no se han actualizado.
Los representantes de GitHub comentaron que la eliminación es una violación de las Políticas de uso aceptable del servicio y afirmaron que comprenden la importancia de publicar prototipos de exploits con fines educativos y de investigación, pero también reconocen el peligro de daño que pueden causar en manos de los atacantes. Por lo tanto, GitHub está tratando de encontrar el equilibrio óptimo entre los intereses de la comunidad de investigación de seguridad y la protección de las víctimas potenciales. En este caso, se considera que la publicación de un exploit apto para realizar ataques, siempre que exista un gran número de sistemas que aún no han sido actualizados, viola las reglas de GitHub.
Cabe destacar que los ataques comenzaron en enero, mucho antes de que se publicara la solución y se divulgara información sobre la presencia de la vulnerabilidad (día 0). Antes de que se publicara el prototipo del exploit, ya habían sido atacados unos 100 servidores en los que se había instalado una puerta trasera para control remoto.
Un prototipo de exploit remoto de GitHub demostró la vulnerabilidad CVE-2021-26855 (ProxyLogon), que permite extraer los datos de un usuario arbitrario sin autenticación. Cuando se combina con CVE-2021-27065, la vulnerabilidad también permite que se ejecute código en el servidor con derechos de administrador.
No se han eliminado todos los exploits; por ejemplo, aún permanece en GitHub una versión simplificada de otro exploit desarrollado por el equipo de GreyOrder. La nota sobre el exploit indica que el exploit GreyOrder original se eliminó después de que se agregó una funcionalidad adicional al código para enumerar los usuarios en el servidor de correo, que podría usarse para llevar a cabo ataques masivos contra empresas que utilizan Microsoft Exchange.
Fuente: opennet.ru