Microsoft hefur fjarlægt úr GitHub kóðann (afritið) með frumgerð hetjudáð sem sýnir fram á meginregluna um virkni mikilvægs varnarleysis í Microsoft Exchange. Þessi aðgerð olli reiði meðal margra öryggisrannsakenda þar sem frumgerð misnotkunar var birt eftir útgáfu plástursins, sem er algeng venja.
GitHub reglurnar innihalda ákvæði sem bannar að setja virkan illgjarn kóða eða hetjudáð (þ.e. þau sem ráðast á notendakerfi) í geymslur, sem og notkun GitHub sem vettvang til að afhenda hetjudáð og illgjarn kóða meðan á árásum stendur. En þessari reglu hefur ekki áður verið beitt á frumgerðir kóða sem hýst eru af rannsakendum sem birtar eru til að greina árásaraðferðir eftir að seljandi gefur út plástur.
Þar sem slíkur kóði er venjulega ekki fjarlægður, var litið á aðgerðir GitHub sem Microsoft notar stjórnunarúrræði til að loka fyrir upplýsingar um varnarleysi vörunnar. Gagnrýnendur hafa sakað Microsoft um tvöfalt siðferði og að ritskoða efni sem vekur mikla athygli fyrir öryggisrannsóknarsamfélagið einfaldlega vegna þess að efnið skaðar hagsmuni Microsoft. Að sögn meðlims Google Project Zero teymisins er sú framkvæmd að birta frumgerðir af nýtingu réttlætanleg og ávinningurinn vegur þyngra en áhættan, þar sem engin leið er að deila rannsóknarniðurstöðum með öðrum sérfræðingum án þess að þessar upplýsingar komist í hendur árásarmanna.
Rannsakandi frá Kryptos Logic reyndi að andmæla og benti á að í aðstæðum þar sem enn eru meira en 50 þúsund óuppfærðir Microsoft Exchange netþjónar á netinu lítur út fyrir að birting frumgerða sem eru tilbúin fyrir árásir vafasöm. Skaðinn sem snemmbúin birting hetjudáða getur valdið er meiri en ávinningurinn fyrir öryggisrannsakendur, þar sem slík hetjudáð afhjúpar mikinn fjölda netþjóna sem hafa ekki enn verið uppfærðir.
Fulltrúar GitHub tjáðu sig um fjarlæginguna sem brot á reglunum um ásættanlega notkun þjónustunnar og lýstu því yfir að þeir skilji mikilvægi þess að birta nýtingarfrumgerðir í rannsóknar- og fræðslutilgangi, en viðurkenna einnig hættuna á tjóni sem þær geta valdið í höndum árásarmanna. Þess vegna er GitHub að reyna að finna besta jafnvægið milli hagsmuna öryggisrannsóknasamfélagsins og verndar hugsanlegra fórnarlamba. Í þessu tilviki er birting á hagnýtingu sem hentar til að framkvæma árásir, að því tilskildu að það sé mikill fjöldi kerfa sem ekki hefur enn verið uppfærð, talin brjóta í bága við GitHub reglurnar.
Það er athyglisvert að árásirnar hófust í janúar, löngu áður en lagfæringin var gefin út og upplýsingar um tilvist veikleikans voru birtar (0-dagur). Áður en exploit frumgerðin var gefin út hafði þegar verið ráðist á um 100 þúsund netþjóna, sem bakdyr fyrir fjarstýringu hafði verið sett upp á.
Ytri frumgerð GitHub exploit sýndi CVE-2021-26855 (ProxyLogon) varnarleysið, sem gerir kleift að draga út gögn handahófskenndra notanda án auðkenningar. Þegar það var sameinað CVE-2021-27065, leyfði varnarleysið einnig að keyra kóða á þjóninum með stjórnandaréttindi.
Ekki hafa öll hetjudáð verið fjarlægð; til dæmis er einfölduð útgáfa af annarri hetjudáð þróað af GreyOrder teyminu enn á GitHub. Í hagnýtingarskýrslunni kemur fram að upprunalega GreyOrder misnotkunin hafi verið fjarlægð eftir að viðbótarvirkni var bætt við kóðann til að telja upp notendur á póstþjóninum, sem hægt væri að nota til að gera fjöldaárásir á fyrirtæki sem notuðu Microsoft Exchange.
Heimild: opennet.ru