Microsoft hat de koade (kopy) fan GitHub fuortsmiten mei in prototype-eksploitaasje dy't it prinsipe fan wurking fan in krityske kwetsberens yn Microsoft Exchange oantoand. Dizze aksje feroarsake skande ûnder in protte feiligensûndersikers, om't it prototype fan 'e eksploitaasje waard publisearre nei de frijlitting fan' e patch, wat gewoane praktyk is.
De GitHub-regels befetsje in klausel dy't it pleatsen fan aktive kweade koade of eksploaten (dat wol sizze, dy oanfallen fan brûkerssystemen) yn repositories ferbiedt, lykas ek it brûken fan GitHub as platfoarm foar it leverjen fan eksploaten en kweade koade tidens oanfallen. Mar dizze regel is net earder tapast op ûndersiker-hosted koade-prototypes publisearre om oanfalmetoaden te analysearjen neidat in ferkeaper in patch hat frijlitten.
Om't sa'n koade normaal net fuorthelle wurdt, waarden de aksjes fan GitHub ûnderfûn as Microsoft brûkte bestjoerlike boarnen om ynformaasje te blokkearjen oer de kwetsberens yn har produkt. Kritisy hawwe Microsoft beskuldige fan dûbele noarmen en it sensurearjen fan ynhâld fan heech belang foar de feiligensûndersyksmienskip gewoan om't de ynhâld de belangen fan Microsoft skea docht. Neffens in lid fan it Google Project Zero-team is de praktyk fan it publisearjen fan eksploitaasjeprototypen rjochtfeardige en is it foardiel grutter as it risiko, om't d'r gjin manier is om ûndersyksresultaten te dielen mei oare spesjalisten sûnder dat dizze ynformaasje yn 'e hannen fan oanfallers falle.
In ûndersiker fan Kryptos Logic besocht beswier te meitsjen, oan te wizen dat yn in situaasje dêr't noch mear as 50 tûzen net bywurke Microsoft Exchange-tsjinners op it netwurk binne, sjocht de publikaasje fan eksploitaasjeprototypen klear foar oanfallen twifelich. De skea dy't betide publikaasje fan eksploaten kin feroarsaakje is grutter as it foardiel foar feiligensûndersikers, om't sokke eksploaten in grut oantal servers bleatstelle dy't noch net bywurke binne.
GitHub-fertsjintwurdigers kommentearren oer de ferwidering as in oertreding fan it akseptabel gebrûksbelied fan 'e tsjinst en stelden dat se it belang begripe fan it publisearjen fan eksploitaasjeprototypen foar ûndersyks- en edukative doelen, mar erkenne ek it gefaar fan skea dy't se kinne feroarsaakje yn' e hannen fan oanfallers. Dêrom besiket GitHub it optimale lykwicht te finen tusken de belangen fan 'e feiligensûndersykmienskip en de beskerming fan potensjele slachtoffers. Yn dit gefal wurdt de publikaasje fan in eksploitaasje geskikt foar it útfieren fan oanfallen, as d'r in grut oantal systemen binne dy't noch net bywurke binne, beskôge as yn striid mei de GitHub-regels.
It is opmerklik dat de oanfallen begon yn jannewaris, lang foar de frijlitting fan 'e fix en iepenbiering fan ynformaasje oer de oanwêzigens fan' e kwetsberens (0-day). Foardat it eksploitaasjeprototype publisearre waard, wiene al sa'n 100 tûzen tsjinners oanfallen, wêrop in efterdoar foar remote control ynstalleare wie.
In prototype fan GitHub-eksploitaasje op ôfstân demonstrearre de kwetsberens fan CVE-2021-26855 (ProxyLogon), wêrtroch de gegevens fan in willekeurige brûker kinne wurde ekstrahearre sûnder autentikaasje. As kombinearre mei CVE-2021-27065, koe de kwetsberens ek koade útfiere op 'e server mei behearderrjochten.
Net alle eksploaten binne fuortsmiten; Bygelyks, in ferienfâldige ferzje fan in oare eksploitaasje ûntwikkele troch it GreyOrder-team bliuwt noch altyd op GitHub. De eksploitaasjenota stelt dat de orizjinele GreyOrder-eksploitaasje waard fuortsmiten neidat ekstra funksjonaliteit oan 'e koade tafoege waard om brûkers op' e e-posttsjinner op te nimmen, dy't brûkt wurde kinne om massale oanfallen út te fieren op bedriuwen dy't Microsoft Exchange brûke.
Boarne: opennet.ru