Microsoft eliminou de GitHub o código (copia) cun prototipo de exploit que demostra o principio de funcionamento dunha vulnerabilidade crítica en Microsoft Exchange. Esta acción causou indignación entre moitos investigadores de seguridade, xa que o prototipo do exploit foi publicado despois do lanzamento do parche, que é unha práctica habitual.
As regras de GitHub conteñen unha cláusula que prohibe a colocación de código ou exploits maliciosos activos (é dicir, os que atacan os sistemas de usuarios) nos repositorios, así como o uso de GitHub como plataforma para entregar exploits e código malicioso durante os ataques. Pero esta regra non se aplicou anteriormente aos prototipos de código aloxados por investigadores publicados para analizar métodos de ataque despois de que un vendedor lanza un parche.
Dado que este código normalmente non se elimina, as accións de GitHub foron percibidas como Microsoft utilizando recursos administrativos para bloquear información sobre a vulnerabilidade do seu produto. Os críticos acusaron a Microsoft de dobres estándares e de censurar contidos de gran interese para a comunidade de investigación de seguridade simplemente porque o contido prexudica os intereses de Microsoft. Segundo un membro do equipo de Google Project Zero, a práctica de publicar prototipos de exploit está xustificada e o beneficio supera o risco, xa que non hai forma de compartir os resultados da investigación con outros especialistas sen que esta información caia en mans dos atacantes.
Un investigador de Kryptos Logic tentou opoñerse, sinalando que nunha situación na que aínda hai máis de 50 mil servidores Microsoft Exchange sen actualizar na rede, a publicación de prototipos de exploit preparados para ataques parece dubidosa. O dano que pode causar a publicación anticipada de exploits supera o beneficio para os investigadores de seguridade, xa que tales exploits deixan ao descuberto un gran número de servidores que aínda non foron actualizados.
Os representantes de GitHub comentaron a eliminación como unha violación das Políticas de uso aceptable do servizo e afirmaron que entenden a importancia de publicar prototipos de explotación con fins educativos e de investigación, pero tamén recoñecen o perigo de danos que poden causar en mans dos atacantes. Polo tanto, GitHub está tentando atopar o equilibrio óptimo entre os intereses da comunidade de investigación de seguridade e a protección das posibles vítimas. Neste caso, considérase que a publicación dun exploit axeitado para realizar ataques, sempre que exista un gran número de sistemas aínda non actualizados, infrinxe as regras de GitHub.
Cabe destacar que os ataques comezaron en xaneiro, moito antes do lanzamento da corrección e a divulgación de información sobre a presenza da vulnerabilidade (día 0). Antes de que se publicara o prototipo de exploit, uns 100 mil servidores xa foran atacados, nos que se instalou unha porta traseira para o control remoto.
Un prototipo de exploit GitHub remoto demostrou a vulnerabilidade CVE-2021-26855 (ProxyLogon), que permite extraer os datos dun usuario arbitrario sen autenticación. Cando se combinaba con CVE-2021-27065, a vulnerabilidade tamén permitía executar código no servidor con dereitos de administrador.
Non se eliminaron todos os exploits; por exemplo, unha versión simplificada doutro exploit desenvolvido polo equipo de GreyOrder aínda permanece en GitHub. A nota de explotación indica que o exploit orixinal de GreyOrder foi eliminado despois de que se engadira ao código unha funcionalidade adicional para enumerar os usuarios no servidor de correo, que podería usarse para realizar ataques masivos a empresas que usan Microsoft Exchange.
Fonte: opennet.ru