Microsoft heeft de code (kopie) van GitHub verwijderd met een prototype-exploit die het werkingsprincipe van een kritieke kwetsbaarheid in Microsoft Exchange demonstreert. Deze actie veroorzaakte verontwaardiging bij veel beveiligingsonderzoekers, aangezien het prototype van de exploit werd gepubliceerd na de release van de patch, wat gebruikelijk is.
De GitHub-regels bevatten een clausule die het plaatsen van actieve kwaadaardige code of exploits (d.w.z. degene die gebruikerssystemen aanvallen) in opslagplaatsen verbiedt, evenals het gebruik van GitHub als platform voor het leveren van exploits en kwaadaardige code tijdens aanvallen. Maar deze regel is nog niet eerder toegepast op door onderzoekers gehoste codeprototypes die zijn gepubliceerd om aanvalsmethoden te analyseren nadat een leverancier een patch heeft uitgebracht.
Omdat dergelijke code meestal niet wordt verwijderd, werden de acties van GitHub opgevat als Microsoft die beheerdersbronnen gebruikte om informatie over de kwetsbaarheid in zijn product te blokkeren. Critici hebben Microsoft beschuldigd van dubbele standaarden en het censureren van inhoud die van groot belang is voor de veiligheidsonderzoeksgemeenschap, simpelweg omdat de inhoud de belangen van Microsoft schaadt. Volgens een lid van het Google Project Zero-team is de praktijk van het publiceren van exploit-prototypes gerechtvaardigd en wegen de voordelen zwaarder dan de risico's, aangezien er geen manier is om onderzoeksresultaten met andere specialisten te delen zonder dat deze informatie in handen van aanvallers valt.
Een onderzoeker van Kryptos Logic probeerde bezwaar te maken en wees erop dat in een situatie waarin er nog steeds meer dan 50 niet-geüpdatete Microsoft Exchange-servers op het netwerk staan, de publicatie van exploit-prototypes die klaar zijn voor aanvallen twijfelachtig lijkt. De schade die vroege publicatie van exploits kan veroorzaken, weegt zwaarder dan de voordelen voor beveiligingsonderzoekers, aangezien dergelijke exploits een groot aantal servers blootleggen die nog niet zijn bijgewerkt.
Vertegenwoordigers van GitHub noemden de verwijdering een schending van het Acceptable Use Policies van de dienst en verklaarden dat zij het belang begrijpen van het publiceren van exploit-prototypes voor onderzoeks- en educatieve doeleinden, maar ook het gevaar erkennen van schade die ze kunnen veroorzaken in de handen van aanvallers. Daarom probeert GitHub de optimale balans te vinden tussen de belangen van de veiligheidsonderzoeksgemeenschap en de bescherming van potentiële slachtoffers. In dit geval wordt het publiceren van een exploit die geschikt is voor het uitvoeren van aanvallen, mits er een groot aantal systemen is die nog niet zijn bijgewerkt, beschouwd als een overtreding van de GitHub-regels.
Het is opmerkelijk dat de aanvallen in januari begonnen, lang vóór de release van de oplossing en het vrijgeven van informatie over de aanwezigheid van de kwetsbaarheid (0-day). Voordat het exploit-prototype werd gepubliceerd, waren er al ongeveer 100 servers aangevallen, waarop een achterdeur voor afstandsbediening was geïnstalleerd.
Een prototype van een externe GitHub-exploit demonstreerde de CVE-2021-26855 (ProxyLogon) kwetsbaarheid, waardoor de gegevens van een willekeurige gebruiker zonder authenticatie kunnen worden geëxtraheerd. In combinatie met CVE-2021-27065 zorgde de kwetsbaarheid er ook voor dat code met beheerdersrechten op de server kon worden uitgevoerd.
Niet alle exploits zijn verwijderd; een vereenvoudigde versie van een andere exploit, ontwikkeld door het GreyOrder-team, staat bijvoorbeeld nog steeds op GitHub. In de exploitnota staat dat de oorspronkelijke GreyOrder-exploit werd verwijderd nadat extra functionaliteit aan de code was toegevoegd om gebruikers op de mailserver op te sommen, die konden worden gebruikt om massale aanvallen uit te voeren op bedrijven die Microsoft Exchange gebruiken.
Bron: opennet.ru