Microsoft telah mengalih keluar kod (salinan) daripada GitHub dengan eksploitasi prototaip yang menunjukkan prinsip kelemahan kritikal dalam Microsoft Exchange. Tindakan sedemikian menyebabkan kemarahan ramai penyelidik keselamatan, kerana prototaip eksploitasi diterbitkan selepas pelepasan tampung, yang merupakan amalan biasa.
Terdapat klausa dalam peraturan GitHub yang melarang penempatan kod berniat jahat aktif atau eksploitasi (iaitu, menyerang sistem pengguna) dalam repositori, serta penggunaan GitHub sebagai platform untuk menyampaikan eksploitasi dan perisian hasad semasa dalam proses membawa keluar serangan. Tetapi peraturan ini sebelum ini tidak digunakan untuk prototaip kod yang dihoskan oleh penyelidik yang diterbitkan untuk menganalisis kaedah serangan selepas tampung dikeluarkan oleh vendor.
Memandangkan kod sedemikian biasanya tidak dialih keluar, tindakan GitHub dianggap sebagai penggunaan sumber pentadbiran Microsoft untuk menyekat maklumat tentang kelemahan dalam produknya. Pengkritik telah menuduh Microsoft melakukan piawaian berganda dan menapis kandungan yang sangat menarik minat komuniti penyelidikan keselamatan semata-mata kerana kandungan tersebut membahayakan kepentingan Microsoft. Menurut ahli pasukan Google Project Zero, amalan menerbitkan prototaip eksploitasi adalah wajar dan faedahnya melebihi risiko, kerana tiada cara untuk berkongsi hasil penyelidikan dengan pakar lain tanpa maklumat ini jatuh ke tangan penyerang.
Seorang penyelidik dari Kryptos Logic cuba membantah, menunjukkan bahawa dalam situasi di mana masih terdapat lebih daripada 50 pelayan Microsoft Exchange yang belum dikemas kini pada rangkaian, menerbitkan prototaip eksploitasi yang sedia untuk serangan kelihatan meragukan. Kemudaratan yang boleh ditimbulkan oleh penerbitan awal eksploitasi melebihi manfaat bagi penyelidik keselamatan, kerana eksploitasi tersebut membahayakan sejumlah besar pelayan yang belum mempunyai masa untuk memasang kemas kini.
Wakil GitHub mengulas mengenai pengalihan keluar sebagai pelanggaran syarat perkhidmatan (Dasar Penggunaan Boleh Diterima) dan menyatakan bahawa mereka memahami kepentingan menerbitkan prototaip eksploit untuk tujuan penyelidikan dan pendidikan, tetapi juga mengiktiraf bahaya daripada kerosakan yang boleh disebabkan oleh mereka dalam tangan penyerang. Oleh itu, GitHub cuba mencari keseimbangan optimum antara kepentingan komuniti penyelidikan keselamatan dan perlindungan mangsa yang berpotensi. Dalam kes ini, penerbitan eksploitasi yang sesuai untuk melakukan serangan, dengan syarat terdapat sejumlah besar sistem yang belum dikemas kini, diiktiraf sebagai melanggar peraturan GitHub.
Perlu diperhatikan bahawa serangan bermula pada bulan Januari, jauh sebelum pelepasan patch dan pendedahan maklumat tentang kehadiran kelemahan (0 hari). Sebelum prototaip eksploitasi diterbitkan, kira-kira 100 ribu pelayan telah diserang, di mana pintu belakang untuk alat kawalan jauh dipasang.
Prototaip eksploitasi GitHub jauh menunjukkan kerentanan CVE-2021-26855 (ProxyLogon), yang membolehkan mengekstrak data pengguna sewenang-wenangnya tanpa pengesahan. Bersempena dengan CVE-2021-27065, kerentanan itu juga membenarkan kod dilaksanakan pada pelayan dengan keistimewaan pentadbiran.
Tidak semua eksploitasi telah dialih keluar, contohnya, versi ringkas eksploitasi lain yang dibangunkan oleh pasukan GreyOrder kekal di GitHub. Nota eksploitasi menyatakan bahawa eksploitasi GreyOrder asal telah dialih keluar selepas menambah fungsi tambahan pada kod yang menghitung pengguna pada pelayan mel, yang boleh digunakan untuk melancarkan serangan besar-besaran ke atas syarikat yang menggunakan Microsoft Exchange.
Sumber: opennet.ru