Microsoft telah menghapus kode (salinan) dari GitHub dengan eksploit prototipe yang menunjukkan prinsip pengoperasian kerentanan kritis di Microsoft Exchange. Tindakan ini menyebabkan kemarahan di antara banyak peneliti keamanan, karena prototipe eksploitasi diterbitkan setelah patch dirilis, dan ini merupakan praktik umum.
Aturan GitHub berisi klausul yang melarang penempatan kode berbahaya atau eksploitasi aktif (yaitu menyerang sistem pengguna) di repositori, serta penggunaan GitHub sebagai platform untuk mengirimkan eksploitasi dan kode berbahaya selama serangan. Namun aturan ini sebelumnya belum pernah diterapkan pada prototipe kode yang dihosting peneliti yang diterbitkan untuk menganalisis metode serangan setelah vendor merilis patch.
Karena kode tersebut biasanya tidak dihapus, tindakan GitHub dianggap sebagai cara Microsoft menggunakan sumber daya administratif untuk memblokir informasi tentang kerentanan pada produknya. Kritikus menuduh Microsoft melakukan standar ganda dan menyensor konten yang sangat menarik bagi komunitas riset keamanan hanya karena konten tersebut merugikan kepentingan Microsoft. Menurut anggota tim Google Project Zero, praktik penerbitan prototipe eksploitasi dapat dibenarkan dan manfaatnya lebih besar daripada risikonya, karena tidak ada cara untuk berbagi hasil penelitian dengan pakar lain tanpa informasi tersebut jatuh ke tangan penyerang.
Seorang peneliti dari Kryptos Logic mencoba menolak, menunjukkan bahwa dalam situasi di mana masih ada lebih dari 50 ribu server Microsoft Exchange yang belum diperbarui di jaringan, publikasi prototipe eksploitasi yang siap untuk diserang tampak diragukan. Kerugian yang ditimbulkan oleh publikasi awal eksploitasi lebih besar daripada manfaatnya bagi peneliti keamanan, karena eksploitasi tersebut mengekspos sejumlah besar server yang belum diperbarui.
Perwakilan GitHub mengomentari penghapusan tersebut sebagai pelanggaran terhadap Kebijakan Penggunaan yang Dapat Diterima dari layanan tersebut dan menyatakan bahwa mereka memahami pentingnya menerbitkan prototipe eksploitasi untuk tujuan penelitian dan pendidikan, tetapi juga menyadari bahaya kerusakan yang dapat ditimbulkannya di tangan penyerang. Oleh karena itu, GitHub berusaha menemukan keseimbangan optimal antara kepentingan komunitas riset keamanan dan perlindungan calon korban. Dalam hal ini, publikasi eksploitasi yang cocok untuk melakukan serangan, asalkan ada banyak sistem yang belum diperbarui, dianggap melanggar aturan GitHub.
Patut dicatat bahwa serangan dimulai pada bulan Januari, jauh sebelum rilis perbaikan dan pengungkapan informasi tentang keberadaan kerentanan (0 hari). Sebelum prototipe eksploitasi dipublikasikan, sekitar 100 ribu server telah diserang, di mana pintu belakang untuk kendali jarak jauh telah dipasang.
Prototipe eksploitasi GitHub jarak jauh menunjukkan kerentanan CVE-2021-26855 (ProxyLogon), yang memungkinkan data pengguna sewenang-wenang diekstraksi tanpa autentikasi. Ketika digabungkan dengan CVE-2021-27065, kerentanan juga memungkinkan kode dieksekusi di server dengan hak administrator.
Tidak semua eksploitasi telah dihapus; misalnya, versi sederhana dari eksploitasi lain yang dikembangkan oleh tim GreyOrder masih ada di GitHub. Catatan eksploitasi menyatakan bahwa eksploitasi GreyOrder asli telah dihapus setelah fungsionalitas tambahan ditambahkan ke kode untuk menghitung pengguna di server email, yang dapat digunakan untuk melakukan serangan massal terhadap perusahaan yang menggunakan Microsoft Exchange.
Sumber: opennet.ru