A Microsoft eltávolította a GitHubról a Microsoft Exchange kritikus sebezhetőségének működését bemutató exploit prototípus másolatát. Ez a lépés számos biztonsági kutatót felháborított, mivel az exploit prototípust a javítás kiadása után tették közzé, ami bevett gyakorlat.
A GitHub szabályai tiltják az aktív rosszindulatú kódok vagy exploitok (azaz a felhasználók rendszereit támadó elemek) elhelyezését a tárolókban, valamint a GitHub platformként való használatát exploitok és rosszindulatú programok szállítására támadások során. Ez a szabály azonban korábban nem vonatkozott a kutatók által a támadási módszerek elemzésére közzétett kódprototípusokra, miután a gyártó kiadott egy javítást.
Mivel az ilyen kódot jellemzően nem távolítják el, a GitHub intézkedéseit úgy értelmezték, mintha a Microsoft adminisztratív erőforrásokat használna fel a termékében található sebezhetőségről szóló információk blokkolására. A kritikusok kettős mércével és a biztonsági kutatói közösség számára nagy érdeklődésre számot tartó tartalmak cenzúrázásával vádolták a Microsoftot, pusztán azért, mert az sérti a Microsoft érdekeit. A Google Project Zero csapatának egyik tagja úgy véli, hogy a sebezhetőségi prototípusok közzététele indokolt, és az előnyök meghaladják a kockázatokat, mivel nincs mód a kutatási eredmények más kutatókkal való megosztására anélkül, hogy ezek az információk támadók kezébe ne kerülnének.
A Kryptos Logic kutatója megpróbált kifogást emelni, rámutatva, hogy egy olyan helyzetben, amikor még mindig több mint 50 ezer frissítetlen fájl van a hálózaton szervereket A Microsoft Exchange támadásra kész exploit prototípusok közzététele megkérdőjelezhetőnek tűnik. A korai exploit kiadás okozta kár meghaladja a biztonsági kutatók számára hasznot, mivel az ilyen exploitok nagyszámú, még nem frissített szervert tesznek elérhetővé.
A GitHub képviselői az eltávolítást a Felhasználási Felhasználási Szabályzatuk megsértéseként kommentálták, és kijelentették, hogy megértik a sérülékeny támadások prototípusainak kutatási és oktatási célú közzétételének fontosságát, de felismerik a támadók kezében okozott károk veszélyét is. Ezért a GitHub arra törekszik, hogy optimális egyensúlyt találjon a biztonsági kutatói közösség érdekei és a potenciális áldozatok védelme között. Ebben az esetben egy olyan sérülékenység közzététele, amely képes támadások végrehajtására nagyszámú, javítatlan rendszer jelenlétében, a GitHub szabályzatának megsértését jelenti.
Figyelemre méltó, hogy a támadások már januárban elkezdődtek, jóval a javítás kiadása és a nulladik napi sebezhetőség felfedése előtt. Mielőtt a kihasználható prototípust közzétették, körülbelül 100 0 szervert támadtak meg, egy távoli vezérlést lehetővé tevő hátsó ajtóval.
Egy, a GitHubról eltávolított prototípus sérülékenységet kihasználó sebezhetőséget tárt fel a CVE-2021-26855 (ProxyLogon) sebezhetőség, amely lehetővé teszi tetszőleges felhasználói adatok kinyerését hitelesítés nélkül. A CVE-2021-27065 sebezhetőséggel kombinálva a sebezhetőség kódfuttatást is lehetővé tett. szerver rendszergazdai jogokkal.
Nem minden exploitot távolítottak el; például egy másik, a GreyOrder csapata által fejlesztett exploit egy egyszerűsített verziója továbbra is elérhető a GitHubon. Az exploittal kapcsolatos megjegyzések szerint az eredeti GreyOrder exploitot azután távolították el, hogy további funkciókat adtak a kódhoz, amelyek brute-kikényszerítették a felhasználók felsorolását a levelezőszerveren, és amelyeket tömeges támadások indítására lehetett volna felhasználni a Microsoft Exchange-et használó vállalatok ellen.
Forrás: opennet.ru
