„Microsoft“ pašalino iš „GitHub“ kodą (kopiją) su prototipu, demonstruojančiu kritinio „Microsoft Exchange“ pažeidžiamumo veikimo principą. Šis veiksmas sukėlė daugelio saugumo tyrinėtojų pasipiktinimą, nes išnaudojimo prototipas buvo paskelbtas po pataisos išleidimo, o tai yra įprasta praktika.
„GitHub“ taisyklėse yra nuostata, draudžianti talpinti aktyvų kenkėjišką kodą arba išnaudojimus (t. y. tuos, kurie atakuoja vartotojų sistemas) saugyklose, taip pat naudoti „GitHub“ kaip platformą išnaudojimui ir kenkėjiškam kodui pateikti atakų metu. Tačiau ši taisyklė anksčiau nebuvo taikoma tyrėjų priglobtiems kodo prototipams, paskelbtiems atakų metodams analizuoti, kai pardavėjas išleido pataisą.
Kadangi toks kodas paprastai nepašalinamas, „GitHub“ veiksmai buvo suvokiami kaip „Microsoft“ naudojant administracinius išteklius, kad blokuotų informaciją apie savo produkto pažeidžiamumą. Kritikai apkaltino „Microsoft“ taikant dvigubus standartus ir cenzūruojant turinį, kuris labai domina saugumo tyrimų bendruomenę vien dėl to, kad turinys kenkia „Microsoft“ interesams. Pasak „Google Project Zero“ komandos nario, eksploatacinių prototipų publikavimo praktika yra pateisinama, o nauda yra didesnė už riziką, nes nėra galimybės pasidalinti tyrimų rezultatais su kitais specialistais, kad ši informacija nepatektų į užpuolikų rankas.
„Kryptos Logic“ tyrėjas bandė prieštarauti, nurodydamas, kad situacijoje, kai tinkle vis dar yra daugiau nei 50 tūkstančių neatnaujintų „Microsoft Exchange“ serverių, atakoms paruoštų eksploatacinių prototipų publikavimas atrodo abejotinas. Žala, kurią gali sukelti ankstyvas išnaudojimų paskelbimas, yra didesnė už naudą saugumo tyrinėtojams, nes tokie išnaudojimai atskleidžia daugybę serverių, kurie dar nebuvo atnaujinti.
„GitHub“ atstovai komentavo pašalinimą kaip paslaugos priimtino naudojimo politikos pažeidimą ir pareiškė, kad supranta, kaip svarbu skelbti išnaudojimo prototipus mokslinių tyrimų ir švietimo tikslais, tačiau taip pat pripažįsta žalos, kurią jie gali sukelti užpuolikų rankose, pavojų. Todėl „GitHub“ stengiasi rasti optimalią pusiausvyrą tarp saugumo tyrimų bendruomenės interesų ir potencialių aukų apsaugos. Nagrinėjamu atveju išnaudojimo, tinkamo atakoms vykdyti, paskelbimas, jei yra daug sistemų, kurios dar nebuvo atnaujintos, laikomas pažeidžiančiu GitHub taisykles.
Pastebėtina, kad atakos prasidėjo sausio mėnesį, gerokai prieš pataisymo išleidimą ir informacijos apie pažeidžiamumą atskleidimą (0 dienų). Prieš paskelbiant išnaudojimo prototipą, jau buvo užpulta apie 100 tūkstančių serverių, kuriuose buvo įrengtos užpakalinės durys nuotoliniam valdymui.
Nuotolinis „GitHub“ išnaudojimo prototipas parodė CVE-2021-26855 („ProxyLogon“) pažeidžiamumą, leidžiantį išgauti savavališko vartotojo duomenis be autentifikavimo. Kartu su CVE-2021-27065 pažeidžiamumas taip pat leido vykdyti kodą serveryje administratoriaus teisėmis.
Ne visi išnaudojimai buvo pašalinti; pavyzdžiui, supaprastinta kito „GreyOrder“ komandos sukurto išnaudojimo versija vis dar išlieka „GitHub“. Išnaudojimo pastaboje teigiama, kad pradinis „GreyOrder“ išnaudojimas buvo pašalintas po to, kai prie kodo buvo pridėta papildomų funkcijų, skirtų surašyti vartotojus pašto serveryje, kuri galėtų būti naudojama masinėms atakoms prieš „Microsoft Exchange“ naudojančias įmones.
Šaltinis: opennet.ru