A Microsoft eltávolította a kódot (másolatot) a GitHubból egy prototípus kihasználásával, amely bemutatja a Microsoft Exchange kritikus biztonsági résének elvét. Egy ilyen akció sok biztonságkutatóban felháborodást váltott ki, ugyanis az exploit prototípusa a patch megjelenése után jelent meg, ami bevett gyakorlat.
A GitHub szabályaiban van egy záradék, amely megtiltja az aktív rosszindulatú kódok vagy exploitok (vagyis a felhasználói rendszereket támadó) lerakatokban való elhelyezését, valamint a GitHub platformként való használatát kihasználások és rosszindulatú programok szállítására. ki a támadásokat. Ezt a szabályt azonban korábban nem alkalmazták a kutatók által üzemeltetett kódprototípusokra, amelyeket a támadási módszerek elemzésére tettek közzé, miután egy javítócsomagot kiadott egy gyártó.
Mivel az ilyen kódokat általában nem távolítják el, a GitHub műveleteit úgy észlelték, mint a Microsoft egy adminisztrációs erőforrást a termékében található biztonsági résekkel kapcsolatos információk blokkolására. A kritikusok kettős mércével és a biztonságkutató közösség számára nagy érdeklődésre számot tartó tartalmak cenzúrázásával vádolták a Microsoftot, egyszerűen azért, mert a tartalom sérti a Microsoft érdekeit. A Google Project Zero csapatának egyik tagja szerint az exploit prototípusok publikálásának gyakorlata indokolt, az előnyök pedig felülmúlják a kockázatokat, hiszen nincs mód a kutatási eredmények megosztására más szakemberekkel anélkül, hogy ezek az információk a támadók kezébe ne kerüljenek.
A Kryptos Logic egyik kutatója tiltakozni próbált, rámutatva, hogy egy olyan helyzetben, amikor még mindig több mint 50 XNUMX frissítetlen Microsoft Exchange szerver van a hálózaton, kétségesnek tűnik a támadásokra kész exploit prototípusok közzététele. Az exploitok korai közzététele által okozott kár meghaladja a biztonságkutatók hasznát, mivel az ilyen kizsákmányolások sok olyan szervert veszélyeztetnek, amelyeknek még nem volt idejük a frissítések telepítésére.
A GitHub képviselői az eltávolítást a szolgáltatási feltételek (Elfogadható felhasználási szabályzat) megsértéseként kommentálták, és kijelentették, hogy megértik az exploit prototípusok kutatási és oktatási célú közzétételének fontosságát, de felismerik az általuk okozott károk veszélyét is. támadók kezei. Ezért a GitHub igyekszik megtalálni az optimális egyensúlyt a biztonságkutató közösség érdekei és a potenciális áldozatok védelme között. Ebben az esetben a GitHub szabályait sértőnek minősül a támadások elkövetésére alkalmas exploit közzététele, feltéve, hogy nagy számú olyan rendszer van, amelyet még nem frissítettek.
Figyelemre méltó, hogy a támadások januárban kezdődtek, jóval a javítás megjelenése és a sérülékenység jelenlétéről szóló információk nyilvánosságra hozatala előtt (0 nap). Az exploit prototípus megjelenése előtt már körülbelül 100 ezer szervert támadtak meg, amelyekre egy távirányító hátsó ajtót telepítettek.
Egy távoli GitHub kizsákmányoló prototípus kimutatta a CVE-2021-26855 (ProxyLogon) biztonsági rést, amely lehetővé teszi tetszőleges felhasználói adatok hitelesítés nélküli kinyerését. A CVE-2021-27065 kóddal együtt a biztonsági rés lehetővé tette a kód futtatását rendszergazdai jogosultságokkal rendelkező kiszolgálón.
Nem minden exploitot távolítottak el, például egy másik, a GreyOrder csapata által kifejlesztett exploit egyszerűsített változata megmarad a GitHubon. A kizsákmányoló megjegyzés azt állítja, hogy az eredeti GreyOrder exploitot eltávolították, miután a levelezőszerveren a felhasználókat felsoroló kódhoz további funkciókat adtak, amelyek segítségével tömeges támadásokat indíthattak a Microsoft Exchange szolgáltatást használó vállalatok ellen.
Forrás: opennet.ru