Microsoft no GitHub ir noņēmis kodu (kopiju) ar prototipa izmantošanu, kas demonstrē Microsoft Exchange kritiskās ievainojamības darbības principu. Šī darbība izraisīja daudzu drošības pētnieku sašutumu, jo ekspluatācijas prototips tika publicēts pēc ielāpa izlaišanas, kas ir ierasta prakse.
GitHub noteikumos ir ietverta klauzula, kas aizliedz krātuvēs izvietot aktīvu ļaunprātīgu kodu vai ļaunprātīgu kodu (t.i., tādus, kas uzbrūk lietotāju sistēmām), kā arī izmantot GitHub kā platformu ļaunprātīga koda un ļaunprātīga koda piegādei uzbrukumu laikā. Taču šis noteikums iepriekš netika piemērots pētnieku mitinātiem koda prototipiem, kas publicēti, lai analizētu uzbrukuma metodes pēc tam, kad pārdevējs ir izlaidis ielāpu.
Tā kā šāds kods parasti netiek noņemts, GitHub darbības tika uztvertas kā Microsoft, kas izmanto administratīvos resursus, lai bloķētu informāciju par ievainojamību savā produktā. Kritiķi ir apsūdzējuši Microsoft dubultstandartu ievērošanā un satura cenzēšanā, kas interesē drošības pētnieku kopienu tikai tāpēc, ka saturs kaitē Microsoft interesēm. Pēc Google Project Zero komandas biedra domām, ekspluatācijas prototipu publicēšanas prakse ir pamatota un ieguvums ir lielāks par risku, jo nav iespējas dalīties pētījumu rezultātos ar citiem speciālistiem, ja šī informācija nenonāk uzbrucēju rokās.
Kryptos Logic pētnieks mēģināja iebilst, norādot, ka situācijā, kad tīklā joprojām ir vairāk nekā 50 tūkstoši neatjauninātu Microsoft Exchange serveru, uzbrukumiem gatavu exploit prototipu publicēšana izskatās apšaubāma. Kaitējums, ko var nodarīt ekspluatāciju agrīna publicēšana, ir lielāks par ieguvumu drošības pētniekiem, jo šādi izlietojumi atklāj lielu skaitu serveru, kas vēl nav atjaunināti.
GitHub pārstāvji komentēja noņemšanu kā pakalpojuma pieņemamas lietošanas politiku pārkāpumu un paziņoja, ka viņi saprot, cik svarīgi ir publicēt ekspluatācijas prototipus pētniecības un izglītības nolūkos, taču arī atzīst, ka tie var radīt kaitējumu uzbrucēju rokās. Tāpēc GitHub cenšas atrast optimālo līdzsvaru starp drošības pētniecības kopienas interesēm un potenciālo upuru aizsardzību. Šajā gadījumā tiek uzskatīts, ka uzbrukumu veikšanai piemērota ekspluatācijas publicēšana, ja ir liels skaits sistēmu, kuras vēl nav atjauninātas, pārkāpj GitHub noteikumus.
Zīmīgi, ka uzbrukumi sākās janvārī, ilgi pirms labojuma izlaišanas un informācijas par ievainojamības esamību izpaušanas (0 diena). Pirms eksploīta prototipa publicēšanas jau bija uzbrukts aptuveni 100 tūkstošiem serveru, uz kuriem bija uzstādītas tālvadības aizmugures durvis.
Attālināts GitHub ekspluatācijas prototips demonstrēja CVE-2021-26855 (ProxyLogon) ievainojamību, kas ļauj izvilkt patvaļīga lietotāja datus bez autentifikācijas. Kombinācijā ar CVE-2021-27065 ievainojamība ļāva arī izpildīt kodu serverī ar administratora tiesībām.
Ne visi ekspluatācijas veidi ir noņemti; piemēram, cita GreyOrder komandas izstrādātā ekspluatācijas vienkāršota versija joprojām ir pieejama GitHub. Ekspluatācijas piezīmē teikts, ka sākotnējais GreyOrder izmantošanas veids tika noņemts pēc tam, kad kodam tika pievienota papildu funkcionalitāte, lai uzskaitītu lietotājus pasta serverī, ko varētu izmantot, lai veiktu masveida uzbrukumus uzņēmumiem, kas izmanto Microsoft Exchange.
Avots: opennet.ru