Мајкрософт го отстрани од GitHub кодот (копија) со прототип експлоат кој го демонстрира принципот на работа на критична ранливост во Microsoft Exchange. Оваа акција предизвика бес кај многу истражувачи за безбедност, бидејќи прототипот на експлоатацијата беше објавен по објавувањето на закрпата, што е вообичаена практика.
Правилата на GitHub содржат клаузула со која се забранува поставување на активен злонамерен код или експлоатирања (т.е. напаѓање на кориснички системи) во складишта, како и употреба на GitHub како платформа за доставување експлоатирања и злонамерен код за време на напади. Но, ова правило претходно не беше применето на прототиповите на кодот хостирани од истражувач, објавени за анализирање на методите на напад откако продавачот ќе објави закрпа.
Бидејќи таквиот код обично не се отстранува, активностите на GitHub беа сфатени како Мајкрософт користејќи административни ресурси за да ги блокира информациите за ранливоста во својот производ. Критичарите го обвинија Мајкрософт за двојни стандарди и цензурирање на содржината од висок интерес за безбедносната истражувачка заедница само затоа што содржината им штети на интересите на Мајкрософт. Според член на тимот на Google Project Zero, практиката на објавување на експлоат прототипови е оправдана и користа го надминува ризикот, бидејќи не постои начин да се споделат резултатите од истражувањето со други специјалисти без оваа информација да падне во рацете на напаѓачите.
Истражувач од Kryptos Logic се обиде да се спротивстави, истакнувајќи дека во ситуација кога сè уште има повеќе од 50 илјади неажурирани на мрежата сервери Објавувањето на прототипови на експлоити подготвени за напад од страна на Microsoft Exchange е под знак прашалник. Штетата што може да ја предизвика раното објавување на експлоитите е поголема од користа за истражувачите за безбедност, бидејќи ваквите експлоити изложуваат голем број сервери кои сè уште не се ажурирани.
Претставниците на GitHub го коментираа отстранувањето како прекршување на Политиките за прифатлива употреба на услугата и изјавија дека ја разбираат важноста од објавување на експлоат прототипи за истражувачки и едукативни цели, но исто така ја препознаваат опасноста од штета што тие можат да ја предизвикаат во рацете на напаѓачите. Затоа, GitHub се обидува да најде оптимален баланс помеѓу интересите на безбедносната истражувачка заедница и заштитата на потенцијалните жртви. Во овој случај, се смета дека објавувањето на експлоат погодна за извршување напади, под услов да има голем број системи кои сè уште не се ажурирани, ги прекршува правилата на GitHub.
Вреди да се одбележи дека нападите започнаа во јануари, долго пред објавувањето на поправката и откривањето на информациите за присуството на ранливоста (0-ден). Пред да се објави експлоит прототипот, веќе беа нападнати околу 100 илјади сервери, на кои беше инсталирана задна врата за далечинско управување.
Прототип експлоит отстранет од GitHub покажа ранливост CVE-2021-26855 (ProxyLogon), која овозможува извлекување на произволни кориснички податоци без автентикација. Кога се комбинира со CVE-2021-27065, ранливоста исто така овозможи извршување на код. сервер со администраторски права.
Не се отстранети сите експлоатирања, на пример, поедноставена верзија на друга експлоатација развиена од тимот на GreyOrder сè уште останува на GitHub. Во белешката за експлоатирање се наведува дека оригиналниот експлоат на GreyOrder бил отстранет откако во кодот била додадена дополнителна функционалност за набројување на корисниците на серверот за пошта, што може да се користи за извршување масовни напади врз компании кои користат Microsoft Exchange.
Извор: opennet.ru
