Microsoft te retire nan GitHub kòd la (kopi) ak yon pwototip esplwate demontre prensip la nan operasyon nan yon vilnerabilite kritik nan Microsoft Exchange. Aksyon sa a te lakòz outraj nan mitan chèchè sekirite anpil, kòm pwototip nan esplwate a te pibliye apre liberasyon an nan patch la, ki se pratik komen.
Règ GitHub yo genyen yon kloz ki entèdi mete kòd move aktif oswa eksplwatasyon (sa vle di, moun ki atake sistèm itilizatè) nan repozitwa, osi byen ke itilizasyon GitHub kòm yon platfòm pou delivre èksplwatasyon ak kòd move pandan atak yo. Men, règ sa a pa te deja aplike nan pwototip kòd chèchè yo te pibliye pou analize metòd atak apre yon machann lage yon patch.
Piske kòd sa a anjeneral pa retire, aksyon GitHub yo te pèrsu kòm Microsoft lè l sèvi avèk resous administratif yo bloke enfòmasyon sou vilnerabilite nan pwodwi li yo. Kritik yo akize Microsoft de estanda doub ak sansi kontni ki gen gwo enterè nan kominote rechèch sekirite a tou senpleman paske kontni an mal enterè Microsoft la. Dapre yon manm ekip Google Project Zero, pratik pibliye pwototip esplwate yo jistifye e benefis la depase risk, paske pa gen okenn fason pou pataje rezilta rechèch ak lòt espesyalis san enfòmasyon sa yo pa tonbe nan men atakè yo.
Yon chèchè ki soti nan Kryptos Logic te eseye fè objeksyon, fè remake ke nan yon sitiyasyon kote gen toujou plis pase 50 mil serveurs Microsoft Exchange ki pa mete ajou sou rezo a, piblikasyon an nan pwototip esplwate pare pou atak sanble endesi. Mal ke piblikasyon bonè eksplwatasyon yo ka lakòz depase benefis pou chèchè sekirite yo, depi eksplwatasyon sa yo ekspoze yon gwo kantite serveurs ki poko mete ajou.
Reprezantan GitHub fè kòmantè sou retire elèv la kòm yon vyolasyon Règleman Itilizasyon Akseptab sèvis la epi yo deklare ke yo konprann enpòtans ki genyen nan pibliye pwototip esplwate pou rechèch ak rezon edikasyon, men tou rekonèt danje a nan domaj ke yo ka lakòz nan men yo nan atakè yo. Se poutèt sa, GitHub ap eseye jwenn balans ki pi bon ant enterè kominote rechèch sekirite a ak pwoteksyon potansyèl viktim yo. Nan ka sa a, yo konsidere piblikasyon yon eksplwatasyon apwopriye pou fè atak, depi gen yon gwo kantite sistèm ki poko mete ajou, yo konsidere kòm vyole règ GitHub yo.
Li enpòtan pou remake ke atak yo te kòmanse nan mwa janvye, lontan anvan liberasyon an nan ranje a ak divilgasyon enfòmasyon sou prezans nan vilnerabilite a (0-jou). Anvan pwototip eksplwatasyon an te pibliye, apeprè 100 mil serveurs te deja atake, kote yo te enstale yon pòt deye pou kontwòl remote.
Yon pwototip eksplwatasyon GitHub aleka demontre vilnerabilite CVE-2021-26855 (ProxyLogon), ki pèmèt done yon itilizatè abitrè yo dwe ekstrè san otantifikasyon. Lè yo konbine avèk CVE-2021-27065, vilnerabilite a pèmèt tou egzekite kòd sou sèvè a ak dwa administratè.
Se pa tout èksplwatasyon yo te retire; pou egzanp, yon vèsyon senplifye nan yon lòt eksplwate devlope pa ekip la GreyOrder toujou rete sou GitHub. Nòt eksplwatasyon an di ke orijinal GreyOrder eksplwatasyon an te retire apre yo te ajoute plis fonksyonalite nan kòd la pou enumere itilizatè yo sou sèvè lapòs la, ki ta ka itilize pou fè atak mas sou konpayi ki itilize Microsoft Exchange.
Sous: opennet.ru