مایکروسافت کد (کپی) را با یک اکسپلویت اولیه که اصل عملکرد یک آسیبپذیری مهم در Microsoft Exchange را نشان میدهد، از GitHub حذف کرده است. این اقدام باعث خشم بسیاری از محققان امنیتی شد، زیرا نمونه اولیه این اکسپلویت پس از انتشار وصله منتشر شد که یک روش معمول است.
قوانین GitHub حاوی بندی است که قرار دادن کدهای مخرب فعال یا اکسپلویت ها (یعنی آنهایی که به سیستم های کاربر حمله می کنند) در مخازن و همچنین استفاده از GitHub به عنوان پلتفرمی برای ارائه اکسپلویت ها و کدهای مخرب در طول حملات را ممنوع می کند. اما این قانون قبلاً برای نمونههای اولیه کد میزبان محقق که برای تجزیه و تحلیل روشهای حمله پس از انتشار یک پچ توسط فروشنده منتشر شدهاند، اعمال نشده است.
از آنجایی که چنین کدی معمولاً حذف نمیشود، اقدامات GitHub به این صورت تلقی شد که مایکروسافت از منابع مدیریتی برای مسدود کردن اطلاعات مربوط به آسیبپذیری در محصول خود استفاده میکند. منتقدان مایکروسافت را به استانداردهای دوگانه و سانسور محتوای مورد علاقه جامعه تحقیقاتی امنیتی متهم کرده اند، صرفاً به این دلیل که محتوا به منافع مایکروسافت آسیب می رساند. به گفته یکی از اعضای تیم Google Project Zero، عمل انتشار نمونههای اولیه بهرهبرداری موجه است و سود آن بیشتر از خطر است، زیرا هیچ راهی برای به اشتراک گذاشتن نتایج تحقیقات با متخصصان دیگر وجود ندارد بدون اینکه این اطلاعات به دست مهاجمان بیفتد.
محققی از کریپتوس لاجیک سعی کرد مخالفت کند و اشاره کرد که در شرایطی که هنوز بیش از 50 هزار سرور مایکروسافت اکسچنج به روز نشده در شبکه وجود دارد، انتشار نمونه های اولیه اکسپلویت آماده برای حملات مشکوک به نظر می رسد. آسیبی که انتشار زودهنگام اکسپلویت ها می تواند ایجاد کند، بیشتر از منافع محققان امنیتی است، زیرا چنین سوء استفاده هایی تعداد زیادی از سرورهایی را که هنوز به روز نشده اند را در معرض دید قرار می دهد.
نمایندگان GitHub در مورد حذف بهعنوان نقض خطمشیهای استفاده قابل قبول سرویس اظهار نظر کردند و اظهار داشتند که اهمیت انتشار نمونههای اولیه بهرهبرداری برای اهداف تحقیقاتی و آموزشی را درک میکنند، اما همچنین خطر آسیبهایی را که میتوانند در دست مهاجمان ایجاد کنند، تشخیص میدهند. بنابراین، گیت هاب در تلاش برای یافتن تعادل مطلوب بین منافع جامعه تحقیقاتی امنیتی و حفاظت از قربانیان احتمالی است. در این حالت، انتشار یک اکسپلویت مناسب برای انجام حملات، به شرط وجود تعداد زیادی سیستم که هنوز به روز نشده اند، ناقض قوانین GitHub تلقی می شود.
قابل توجه است که حملات در ژانویه، مدت ها قبل از انتشار اصلاح و افشای اطلاعات مربوط به وجود آسیب پذیری (0-day) آغاز شد. قبل از انتشار نمونه اولیه اکسپلویت، حدود 100 هزار سرور قبلا مورد حمله قرار گرفته بودند که یک درب پشتی برای کنترل از راه دور بر روی آنها نصب شده بود.
یک نمونه اولیه بهرهبرداری از راه دور GitHub آسیبپذیری CVE-2021-26855 (ProxyLogon) را نشان میدهد که اجازه میدهد دادههای یک کاربر دلخواه بدون احراز هویت استخراج شود. هنگامی که این آسیبپذیری با CVE-2021-27065 ترکیب میشود، اجازه میدهد تا کد با حقوق سرپرست روی سرور اجرا شود.
همه اکسپلویت ها حذف نشده اند؛ به عنوان مثال، یک نسخه ساده شده از یک اکسپلویت دیگر که توسط تیم GreyOrder توسعه داده شده است هنوز در GitHub باقی مانده است. یادداشت اکسپلویت بیان میکند که اکسپلویت اولیه GreyOrder پس از اضافه شدن قابلیتهای اضافی به کد برای شمارش کاربران در سرور ایمیل حذف شد، که میتوان از آن برای انجام حملات انبوه به شرکتهایی که از Microsoft Exchange استفاده میکنند استفاده کرد.
منبع: opennet.ru