Microsoft je s GitHuba uklonio kod (kopiju) s prototipom exploita koji demonstrira princip rada kritične ranjivosti u Microsoft Exchangeu. Ovaj je postupak izazvao bijes mnogih sigurnosnih istraživača, budući da je prototip exploita objavljen nakon objave zakrpe, što je uobičajena praksa.
Pravila GitHuba sadrže klauzulu koja zabranjuje postavljanje aktivnog zlonamjernog koda ili exploita (tj. onih koji napadaju korisničke sustave) u repozitorije, kao i korištenje GitHuba kao platforme za isporuku exploita i zlonamjernog koda tijekom napada. No ovo se pravilo dosad nije primjenjivalo na prototipove koda koje hostiraju istraživači objavljene za analizu metoda napada nakon što dobavljač objavi zakrpu.
Budući da se takav kod obično ne uklanja, akcije GitHuba su percipirane kao Microsoftova upotreba administrativnih resursa za blokiranje informacija o ranjivosti u svom proizvodu. Kritičari su optužili Microsoft za dvostruke standarde i cenzuriranje sadržaja od velikog interesa za sigurnosnu istraživačku zajednicu samo zato što sadržaj šteti Microsoftovim interesima. Prema članu Google Project Zero tima, praksa objavljivanja exploit prototipova je opravdana i korist nadmašuje rizik, budući da ne postoji način da se rezultati istraživanja dijele s drugim stručnjacima, a da te informacije ne padnu u ruke napadača.
Istraživač iz Kryptos Logica pokušao je prigovoriti, ističući da u situaciji kada na mreži još uvijek postoji više od 50 tisuća neažuriranih Microsoft Exchange poslužitelja, objavljivanje exploit prototipova spremnih za napade izgleda upitno. Šteta koju rano objavljivanje eksploatacija može prouzročiti nadmašuje korist za istraživače sigurnosti, budući da takva eksploatacija izlažu velik broj poslužitelja koji još nisu ažurirani.
Predstavnici GitHuba komentirali su uklanjanje kao kršenje Pravila prihvatljivog korištenja servisa i izjavili da razumiju važnost objavljivanja exploit prototipa u istraživačke i obrazovne svrhe, ali i da prepoznaju opasnost od štete koju mogu prouzročiti u rukama napadača. Stoga GitHub pokušava pronaći optimalnu ravnotežu između interesa istraživačke zajednice sigurnosti i zaštite potencijalnih žrtava. U tom slučaju, objava eksploatacije prikladne za izvođenje napada, pod uvjetom da postoji velik broj sustava koji još nisu ažurirani, smatra se kršenjem GitHub pravila.
Važno je napomenuti da su napadi započeli u siječnju, mnogo prije objavljivanja popravka i otkrivanja informacija o prisutnosti ranjivosti (0-dan). Prije objave prototipa exploita već je bilo napadnuto oko 100 tisuća poslužitelja na kojima je instaliran backdoor za daljinsko upravljanje.
Udaljeni GitHub eksploatacijski prototip pokazao je ranjivost CVE-2021-26855 (ProxyLogon), koja omogućuje ekstrakciju podataka proizvoljnog korisnika bez provjere autentičnosti. U kombinaciji s CVE-2021-27065, ranjivost je također omogućila izvršavanje koda na poslužitelju s administratorskim pravima.
Nisu svi exploiti uklonjeni; na primjer, pojednostavljena verzija drugog exploita koji je razvio GreyOrder tim i dalje ostaje na GitHubu. Napomena o iskorištavanju navodi da je izvorni GreyOrder exploit uklonjen nakon što je kodu dodana dodatna funkcionalnost za nabrajanje korisnika na poslužitelju e-pošte, što bi se moglo koristiti za izvođenje masovnih napada na tvrtke koje koriste Microsoft Exchange.
Izvor: opennet.ru