Microsoft ha rimosso da GitHub il codice (copia) con un prototipo di exploit che dimostra il principio di funzionamento di una vulnerabilità critica in Microsoft Exchange. Questa azione ha suscitato indignazione tra molti ricercatori di sicurezza, poiché il prototipo dell'exploit è stato pubblicato dopo il rilascio della patch, come è una pratica comune.
Le regole di GitHub contengono una clausola che vieta il posizionamento di codice dannoso o exploit attivi (ad esempio quelli che attaccano i sistemi degli utenti) nei repository, nonché l'uso di GitHub come piattaforma per fornire exploit e codice dannoso durante gli attacchi. Ma questa regola non è stata precedentemente applicata ai prototipi di codice ospitati dai ricercatori pubblicati per analizzare i metodi di attacco dopo che un fornitore ha rilasciato una patch.
Poiché tale codice di solito non viene rimosso, le azioni di GitHub sono state percepite come un utilizzo da parte di Microsoft di risorse amministrative per bloccare le informazioni sulla vulnerabilità nel suo prodotto. I critici hanno accusato Microsoft di doppi standard e di censurare contenuti di grande interesse per la comunità di ricerca sulla sicurezza semplicemente perché il contenuto danneggia gli interessi di Microsoft. Secondo un membro del team di Google Project Zero, la pratica di pubblicare prototipi di exploit è giustificata e i benefici superano i rischi, poiché non è possibile condividere i risultati della ricerca con altri specialisti senza che queste informazioni cadano nelle mani degli aggressori.
Ha provato a obiettare un ricercatore di Kryptos Logic, sottolineando che in una situazione in cui sulla rete ci sono ancora più di 50mila server Microsoft Exchange non aggiornati, la pubblicazione di prototipi di exploit pronti per gli attacchi sembra dubbia. Il danno che la pubblicazione anticipata degli exploit può causare supera il beneficio per i ricercatori di sicurezza, poiché tali exploit espongono un gran numero di server che non sono ancora stati aggiornati.
I rappresentanti di GitHub hanno commentato la rimozione come una violazione delle politiche di utilizzo accettabile del servizio e hanno dichiarato di comprendere l'importanza di pubblicare prototipi di exploit per scopi di ricerca e didattici, ma riconoscono anche il pericolo di danni che possono causare nelle mani degli aggressori. GitHub sta quindi cercando di trovare l’equilibrio ottimale tra gli interessi della comunità di ricerca sulla sicurezza e la protezione delle potenziali vittime. In questo caso, la pubblicazione di un exploit idoneo a compiere attacchi, purché siano presenti un gran numero di sistemi non ancora aggiornati, è considerata una violazione delle regole di GitHub.
È interessante notare che gli attacchi sono iniziati a gennaio, molto prima del rilascio della correzione e della divulgazione delle informazioni sulla presenza della vulnerabilità (0 giorni). Prima che il prototipo dell'exploit fosse pubblicato erano già stati attaccati circa 100mila server sui quali era stata installata una backdoor per il controllo remoto.
Un prototipo di exploit GitHub remoto ha dimostrato la vulnerabilità CVE-2021-26855 (ProxyLogon), che consente di estrarre i dati di un utente arbitrario senza autenticazione. Se combinata con CVE-2021-27065, la vulnerabilità consentiva anche l'esecuzione di codice sul server con diritti di amministratore.
Non tutti gli exploit sono stati rimossi; ad esempio, su GitHub rimane ancora una versione semplificata di un altro exploit sviluppato dal team GreyOrder. La nota sull'exploit afferma che l'exploit originale GreyOrder è stato rimosso dopo che al codice sono state aggiunte funzionalità aggiuntive per enumerare gli utenti sul server di posta, che potrebbero essere utilizzate per effettuare attacchi di massa alle aziende che utilizzano Microsoft Exchange.
Fonte: opennet.ru