Microsoft eemaldas GitHubist koodi (koopia) prototüübi ärakasutamisega, mis demonstreerib Microsoft Exchange'i kriitilise haavatavuse põhimõtet. Selline tegevus tekitas paljudes turvauurijates nördimust, kuna exploit prototüüp avaldati pärast plaastri avaldamist, mis on tavaline praktika.
GitHubi reeglites on klausel, mis keelab aktiivse pahatahtliku koodi või ärakasutamiste (st kasutajasüsteemide ründamise) hoidlatesse paigutamise, samuti GitHubi kasutamise platvormina ärakasutamiste ja pahavara edastamiseks, kui see on kandmise protsessis. välja rünnakud. Kuid seda reeglit ei ole varem rakendatud teadlaste hostitud koodiprototüüpidele, mis avaldati ründemeetodite analüüsimiseks pärast seda, kui müüja oli plaastri välja andnud.
Kuna sellist koodi tavaliselt ei eemaldata, tajuti GitHubi tegevust kui Microsofti haldusressurssi, et blokeerida teavet oma toote haavatavuse kohta. Kriitikud on süüdistanud Microsofti topeltstandardites ja turbeuuringute kogukonnale suurt huvi pakkuva sisu tsenseerimises lihtsalt seetõttu, et sisu kahjustab Microsofti huve. Google Project Zero meeskonna liikme sõnul on exploit prototüüpide avaldamise praktika õigustatud ja sellest saadav kasu kaalub üles riskid, kuna uurimistulemusi ei saa kuidagi teiste spetsialistidega jagada, ilma et see info ründajate kätte satuks.
Kryptos Logicu teadlane püüdis vastu vaielda, viidates sellele, et olukorras, kus võrgus on veel üle 50 XNUMX uuendamata Microsoft Exchange'i serveri, tundub rünnakuteks valmis exploit prototüüpide avaldamine kahtlane. Kahju, mida ärakasutamiste varajane avaldamine võib põhjustada, kaalub üles kasu turvateadlastele, kuna sellised ärakasutamised ohustavad paljusid servereid, millele pole veel jõudnud värskendusi installida.
GitHubi esindajad kommenteerisid eemaldamist kui teenusetingimuste (vastuvõetava kasutamise eeskirjad) rikkumist ja teatasid, et mõistavad ärakasutamisprototüüpide avaldamise tähtsust uurimis- ja hariduslikel eesmärkidel, kuid mõistavad ka ohtu, mis tuleneb kahjust, mida need võivad põhjustada ründajate käed. Seetõttu püüab GitHub leida optimaalset tasakaalu turvauurijate kogukonna huvide ja potentsiaalsete ohvrite kaitse vahel. Sel juhul tunnistatakse GitHubi reeglite rikkumiseks rünnete sooritamiseks sobiva ärakasutamise avaldamine eeldusel, et on palju süsteeme, mida pole veel värskendatud.
Tähelepanuväärne on, et rünnakud algasid jaanuaris, ammu enne plaastri väljaandmist ja haavatavuse olemasolu kohta teabe avaldamist (0-päev). Enne ärakasutamise prototüübi avaldamist oli rünnatud juba umbes 100 tuhat serverit, millele paigaldati kaugjuhtimise tagauks.
GitHubi kaugkasutamise prototüüp demonstreeris haavatavust CVE-2021-26855 (ProxyLogon), mis võimaldab hankida suvalisi kasutajaandmeid ilma autentimiseta. Koos CVE-2021-27065-ga võimaldas haavatavus koodi käivitada ka administraatoriõigustega serveris.
Kõiki ärakasutusi pole eemaldatud, näiteks jääb GitHubi alles GreyOrderi meeskonna poolt välja töötatud teise exploiti lihtsustatud versioon. Kasutusmärkuses öeldakse, et algne GreyOrderi eksploit eemaldati pärast seda, kui meiliserveris kasutajaid loendavale koodile lisati lisafunktsioonid, mida saaks kasutada massirünnakute käivitamiseks Microsoft Exchange'i kasutavate ettevõtete vastu.
Allikas: opennet.ru