Microsoft wis mbusak kode (salinan) saka GitHub kanthi eksploitasi prototipe sing nuduhake prinsip operasi kerentanan kritis ing Microsoft Exchange. Tumindak iki nyebabake nesu ing antarane akeh peneliti keamanan, amarga prototipe eksploitasi kasebut diterbitake sawise rilis tembelan, yaiku praktik umum.
Aturan GitHub ngemot klausa sing nglarang penempatan kode utawa eksploitasi aktif (yaiku, sistem pangguna sing nyerang) ing repositori, uga panggunaan GitHub minangka platform kanggo ngirim eksploitasi lan kode jahat sajrone serangan. Nanging aturan iki durung diterapake sadurunge kanggo prototipe kode sing dianakake peneliti sing diterbitake kanggo nganalisa cara serangan sawise vendor ngeculake tembelan.
Amarga kode kasebut biasane ora dibusak, tumindak GitHub dianggep minangka Microsoft nggunakake sumber daya administratif kanggo mblokir informasi babagan kerentanan ing produke. Kritikus wis nuduh Microsoft standar ganda lan censoring isi kapentingan dhuwur kanggo masyarakat riset keamanan mung amarga isi cilaka kapentingan Microsoft. Miturut anggota tim Google Project Zero, praktik nerbitake prototipe eksploitasi dibenerake lan entuk manfaat luwih gedhe tinimbang risiko, amarga ora ana cara kanggo nuduhake asil riset karo spesialis liyane tanpa informasi kasebut tiba ing tangan penyerang.
Peneliti saka Kryptos Logic nyoba mbantah, nuduhake yen ing kahanan sing isih ana luwih saka 50 ewu server Microsoft Exchange sing durung dianyari ing jaringan, publikasi prototipe eksploitasi sing siap kanggo serangan katon ragu. Kerusakan sing bisa ditindakake dening publikasi awal eksploitasi luwih gedhe tinimbang keuntungan kanggo peneliti keamanan, amarga eksploitasi kasebut mbukak akeh server sing durung dianyari.
Perwakilan GitHub menehi komentar babagan penghapusan kasebut minangka nglanggar Kabijakan Panggunaan Ditrima layanan lan nyatakake yen dheweke ngerti pentinge nerbitake prototipe eksploitasi kanggo tujuan riset lan pendhidhikan, nanging uga ngerteni bebaya karusakan sing bisa ditindakake ing tangan para panyerang. Mulane, GitHub nyoba nemokake keseimbangan optimal antarane kapentingan komunitas riset keamanan lan perlindungan korban potensial. Ing kasus iki, publikasi eksploitasi sing cocog kanggo nindakake serangan, yen ana akeh sistem sing durung dianyari, dianggep nglanggar aturan GitHub.
Wigati dimangerteni manawa serangan kasebut diwiwiti ing wulan Januari, sadurunge diluncurake fix lan pambocoran informasi babagan ananΓ© kerentanan (0-dina). Sadurunge prototipe exploit diterbitake, kira-kira 100 ewu server wis diserang, ing ngendi backdoor kanggo remot kontrol wis diinstal.
Prototipe eksploitasi GitHub remot nuduhake kerentanan CVE-2021-26855 (ProxyLogon), sing ngidini data pangguna sewenang-wenang diekstrak tanpa otentikasi. Nalika digabungake karo CVE-2021-27065, kerentanan uga ngidini kode dieksekusi ing server kanthi hak administrator.
Ora kabeh eksploitasi wis dibusak; contone, versi sing disederhanakake saka eksploitasi liyane sing dikembangake dening tim GreyOrder isih tetep ana ing GitHub. Cathetan eksploitasi kasebut nyatakake yen eksploitasi GreyOrder asli wis dibusak sawise fungsi tambahan ditambahake menyang kode kanggo enumerate pangguna ing server mail, sing bisa digunakake kanggo nindakake serangan massal marang perusahaan sing nggunakake Microsoft Exchange.
Source: opennet.ru