Microsoft は、Microsoft Exchange の重大な脆弱性の動作原理を示すプロトタイプエクスプロイトを含むコード (コピー) を GitHub から削除しました。 エクスプロイトのプロトタイプはパッチのリリース後に公開されたのが一般的だったため、この行為は多くのセキュリティ研究者の怒りを引き起こしました。
GitHub のルールには、アクティブな悪意のあるコードやエクスプロイト (つまり、ユーザー システムを攻撃するもの) をリポジトリに配置すること、および攻撃中にエクスプロイトや悪意のあるコードを配布するためのプラットフォームとして GitHub を使用することを禁止する条項が含まれています。 しかし、このルールは、ベンダーがパッチをリリースした後に攻撃方法を分析するために公開された研究者がホストするコードのプロトタイプにはこれまで適用されていませんでした。
通常、このようなコードは削除されないため、GitHub の行為は、Microsoft が管理リソースを使用して自社製品の脆弱性に関する情報をブロックしていると認識されました。 批評家たちは、コンテンツがマイクロソフトの利益を損なうという理由だけで、二重基準を設け、セキュリティ研究コミュニティにとって関心の高いコンテンツを検閲しているとしてマイクロソフトを非難している。 Google Project Zero チームのメンバーによると、この情報が攻撃者の手に渡らずに研究結果を他の専門家と共有する方法がないため、エクスプロイトのプロトタイプを公開する行為は正当化され、リスクを上回る利点があるとのことです。
Kryptos Logic の研究者は、ネットワーク上にまだ 50 万台以上の更新されていない Microsoft Exchange サーバーが存在する状況では、攻撃に備えたエクスプロイト プロトタイプの公開には疑問があると指摘し、これに異議を唱えようとしました。 このようなエクスプロイトは、まだ更新されていない多数のサーバーを公開するため、エクスプロイトの早期公開によって引き起こされる害は、セキュリティ研究者にとっての利益を上回ります。
GitHubの代表者は、この削除はサービスの利用規約への違反であるとコメントし、研究や教育目的でエクスプロイトのプロトタイプを公開することの重要性は理解しているが、それが攻撃者の手によって引き起こされる損害の危険性も認識していると述べた。 したがって、GitHub は、セキュリティ研究コミュニティの利益と潜在的な被害者の保護の間の最適なバランスを見つけようとしています。 この場合、まだ更新されていないシステムが多数存在する場合、攻撃の実行に適したエクスプロイトの公開は GitHub ルールに違反すると考えられます。
攻撃が修正のリリースと脆弱性の存在に関する情報の公開(ゼロデイ)のずっと前の 0 月に開始されたことは注目に値します。 エクスプロイトのプロトタイプが公開される前に、すでに約 100 万台のサーバーが攻撃されており、そのサーバーには遠隔操作のためのバックドアが設置されていました。
リモートの GitHub エクスプロイト プロトタイプでは、認証なしで任意のユーザーのデータを抽出できる CVE-2021-26855 (ProxyLogon) 脆弱性が実証されました。 この脆弱性を CVE-2021-27065 と組み合わせると、管理者権限でサーバー上でコードが実行される可能性もあります。
すべてのエクスプロイトが削除されたわけではありません。たとえば、GreyOrder チームが開発した別のエクスプロイトの簡易バージョンがまだ GitHub に残っています。 エクスプロイトノートには、メールサーバー上のユーザーを列挙する追加機能がコードに追加された後、元のGreyOrderエクスプロイトが削除されたと記載されており、この機能はMicrosoft Exchangeを使用している企業に対する大規模攻撃に使用される可能性がある。
出所: オープンネット.ru