Microsoft a supprimé de GitHub le code (copie) avec un prototype d'exploit démontrant le principe de fonctionnement d'une vulnérabilité critique dans Microsoft Exchange. Cette action a provoqué l'indignation de nombreux chercheurs en sécurité, car le prototype de l'exploit a été publié après la publication du correctif, ce qui est une pratique courante.
Les règles de GitHub contiennent une clause interdisant le placement de codes malveillants actifs ou d'exploits (c'est-à-dire ceux qui attaquent les systèmes des utilisateurs) dans les référentiels, ainsi que l'utilisation de GitHub comme plate-forme pour fournir des exploits et des codes malveillants lors d'attaques. Mais cette règle n’a jamais été appliquée aux prototypes de code hébergés par des chercheurs et publiés pour analyser les méthodes d’attaque après la publication d’un correctif par un fournisseur.
Étant donné qu'un tel code n'est généralement pas supprimé, les actions de GitHub ont été perçues comme une utilisation par Microsoft de ressources administratives pour bloquer les informations sur la vulnérabilité de son produit. Les critiques ont accusé Microsoft de faire deux poids, deux mesures et de censurer des contenus présentant un grand intérêt pour la communauté des chercheurs en sécurité simplement parce que ces contenus nuisent aux intérêts de Microsoft. Selon un membre de l'équipe Google Project Zero, la pratique consistant à publier des prototypes d'exploits est justifiée et les avantages l'emportent sur les risques, puisqu'il n'y a aucun moyen de partager les résultats de la recherche avec d'autres spécialistes sans que ces informations ne tombent entre les mains des attaquants.
Un chercheur de Kryptos Logic a tenté de s'y opposer, soulignant que dans une situation où il y a encore plus de 50 XNUMX serveurs Microsoft Exchange non mis à jour sur le réseau, la publication de prototypes d'exploits prêts à être attaqués semble douteuse. Les dommages que peut causer la publication précoce d'exploits dépassent les avantages pour les chercheurs en sécurité, car de tels exploits exposent un grand nombre de serveurs qui n'ont pas encore été mis à jour.
Les représentants de GitHub ont commenté la suppression comme une violation des politiques d'utilisation acceptable du service et ont déclaré qu'ils comprennent l'importance de publier des prototypes d'exploits à des fins de recherche et d'éducation, mais reconnaissent également le danger de dommages qu'ils peuvent causer entre les mains d'attaquants. Par conséquent, GitHub tente de trouver l’équilibre optimal entre les intérêts de la communauté des chercheurs en sécurité et la protection des victimes potentielles. Dans ce cas, la publication d'un exploit permettant de mener des attaques, à condition qu'il existe un grand nombre de systèmes qui n'ont pas encore été mis à jour, est considérée comme une violation des règles de GitHub.
Il est à noter que les attaques ont commencé en janvier, bien avant la publication du correctif et la divulgation des informations sur la présence de la vulnérabilité (0-day). Avant la publication du prototype d'exploit, environ 100 XNUMX serveurs avaient déjà été attaqués, sur lesquels une porte dérobée pour le contrôle à distance avait été installée.
Un prototype d'exploit GitHub distant a démontré la vulnérabilité CVE-2021-26855 (ProxyLogon), qui permet d'extraire les données d'un utilisateur arbitraire sans authentification. Lorsqu'elle est combinée avec CVE-2021-27065, la vulnérabilité permettait également d'exécuter du code sur le serveur avec des droits d'administrateur.
Tous les exploits n'ont pas été supprimés ; par exemple, une version simplifiée d'un autre exploit développé par l'équipe GreyOrder reste toujours sur GitHub. La note d'exploitation indique que l'exploit GreyOrder d'origine a été supprimé après l'ajout d'une fonctionnalité supplémentaire au code pour énumérer les utilisateurs sur le serveur de messagerie, ce qui pourrait être utilisé pour mener des attaques massives contre les entreprises utilisant Microsoft Exchange.
Source: opennet.ru